渗透测试之Web安全系列教程（二）

今天，我们来讲一下Web安全！

本文章仅提供学习，切勿将其用于不法手段！

目前，在渗透测试领域，主要分为了两个发展方向，分别为Web攻防领域和PWN（二进制安全）攻防领域。Web 攻防领域，涉及到一些知识点，本系列教程，就来科普一下这些知识点。

接上一篇文章《渗透测试之Web安全系列教程（一）》，我们来继续渗透讨论一下Web安全！

在上一篇文章中，我们提到过同源策略、XSS注入漏洞、网页挂马等相关安全内容！

我们重点强调了学习渗透测试知识的目的！

我们了解攻击技术原理，是为了使渗透测试行为变得更加有效！是为了能够更好的进行信息安全防御，绝不是为了去进行违法犯罪行为！

现在，我们来继续讲一下来自网页内容威胁的两个方向（网页挂马、网页钓鱼）！

网页挂马，是指在正规合法网站的网页内容中嵌入恶意脚本内容，去实施木马攻击行为！

网页钓鱼，是指仿冒伪装成正规合法网站的网页内容，去实施网页诈骗行为！

无论是网页挂马，还是网页钓鱼，危害都是非常巨大的！

如何避免在浏览器中进行网络冲浪时，遭受网页挂马和网页钓鱼攻击呢？

很多浏览器，都带有 恶意网址拦截 功能！这类功能的技术实现，通常是基于 黑名单机制 的！

通过浏览器的恶意网址拦截功能，我们可以避免很多针对恶意网址的网络访问行为。

但是，由于浏览器的恶意网址拦截功能，是基于 黑名单机制 的！也就意味着，未被记录进 黑名单 中的 恶意网址，可能无法被 浏览器 成功拦截！

Google 公司，对外开放了 SafeBrowsing API，用以及时公布最新的恶意网址名单信息。

除了 浏览器 自带的 恶意网址拦截 黑名单机制，还有一项保障浏览器用户的网络访问行为安全的相关技术，那就是 EV SSL 证书技术！对于危险网址，EV SSL 证书技术 将会显示为 红色 ，对于安全网址，EV SSL 证书技术 将会显示为 绿色。

接下来，让我们观察一篇恶意代码中的部分内容，分析一下，它是如何躲避浏览器的恶意代码检测的！

this.globalThis || (this.globalThis = this);

        function decodeStr(e) {
            var d, c, b;
            if (!e) {
                return ""
            }
            for (d = e[0],
                     c = e.split(d),
                     b = 0; b < c.length; b++) {
                c[b] && (c[b] = String.fromCharCode(c[b]))
            }
            return c.join("")
        }

window.android_url =  decodeStr( '|104|116|116|112|115|58|47|47|*|119|101|*|117|*|*|*|*|*|*|*|*|*|*|*|*|*|*|*|*|*|*|*|*|*|*' );

window.ios_url  = decodeStr( '|104|116|116|112|115|58|47|47|*|112|112|*|*|*|*|*|*|*|*|*|*|*|*|*|*|*|*|*|*|*|*|*' );

通过观察上面的恶意代码，我们可以获知，当前恶意代码使用了数据加密技术！

上面的恶意代码，采用了代码混淆机制！

注意，为了避免大家去误操作性地去访问恶意网址，相关代码内容已进行了数据脱敏处理！

上面的恶意代码，通过使用自定义的 decodeStr 函数来实现加密数据的还原操作！

想要了解上面的恶意代码做了些什么，我们就必须了解上面的代码内容含义是什么！

通过观察，我们获知，加密数据，是以数字形式存储的，那么，我们不禁想到了 ASCII 编码！

ascii 码 104 对应的字符是 h 。

ascii 码 116 对应的字符是 t 。

ascii 码 112 对应的字符是 p 。

ascii 码 115 对应的字符是 s 。

ascii 码 47 对应的字符是 / 。

通过上述的观察，我们可知，代码混淆 使用的是 ASCII编码序列技术！

现在，让我们来科普一下 globalThis 的作用和价值是什么！

全局属性 globalThis 包含全局对象 this 的 值，你可以理解为，类似于全局对象（global object）！

说到 全局对象，让我们来复习一下 C语言编程 中的 全局变量 概念！

是的，没错！全局变量的作用域，是全局的！

全局对象的作用域，也是全局的！

globalThis ，提供了一种抽象化的、以标准化方式去获取不同环境中的全局 this 对象（也就是全局对象自身）的途径。区别于 window 或者 self 这些浏览器对象属性，globalThis 可以在有窗口，或者无窗口的各类型环境中正常使用。你可以较为放心地使用 globalThis，globalThis 实现了运行环境无关化。您仅须记住：全局作用域环境中的 this 对象，即是 globalThis ！

我们再来观察看看下面的恶意代码内容：

(function() {
  var hm = document.createElement("script");
  hm.src = "跨域JS脚本的URL地址";
  var s = document.getElementsByTagName("script")[0];
  s.parentNode.insertBefore(hm, s);
})();

上面的代码内容，作用是什么？

是动态创建并添加一个 script 标签，并去解析标签中的内容！

恶意脚本，就是如此规避检测的！恶意脚本，就是如此悄悄的潜入你的浏览器，并去执行恶意代码的！

想要防御来自互联网世界的恶意攻击，我们就必须做到：了解对方是如何地去实施攻击的！

在进行代码审计工作时，在进行渗透测试行为时，当我们发现某个网页文件的内容中包含有类似上述代码内容，那么通常意味着，这个网页文件的内容，是可疑的！这个网页文件的内容安全性，是需要进行深入鉴定的！