互联网公司通用XSS解决方案探讨 d4rkwind百度 自我介绍 暗夜潜风/d4rkwind 百度 高级安全工程师 mere# 提纲 问题现状 解决思路 付诸实践 经验总结 我们遇到什么样的问题现状？ 问题现状 问题现状数量足够多 问题现状“新型”攻击手法普及 移动/云 前项收费 问题现状战略必须拥有安全保障 解决当前问题，我们的思路是什么 ？ 解决思路 避免出现避免出现 开发环节安全保障 测试环节安全保障 及时发现及时发现 自行发现 主动获取 降低危害降低危害 保护重要系统 保护认证会话 解决思路 基于上述思路，如何付诸实践？ 付诸实践 付诸实践开发环节 发布规范 场景 方案 调研模板 种类 比例 开发工具 覆盖度 准确率 嵌入流程 覆盖度 可实施性 付诸实践测试环节 扫描工具 准确率 速度 扫描平台 稳定 API 嵌入流程 覆盖度 可实施性 例行安全扫描 流量/日志挖掘 付诸实践自行发现 全流量URL库 扫描工具/平台 运维平台日志挖掘 付诸实践主动获取 Wooyun 安全响应中心 重要系统免受其他系统影响：统一登录分散认证 重要系统自身免受XSS影响：CSP响应头设置 付诸实践保护重要系统 unsafe. important. baidu.co m passport. baidu.co m BDUS S 容易被盗 Passport .baidu.co m unsaf e impor tant other a other b 保护认证会话：会话HttpOnly化 付诸实践保护认证会话 PC端测试 WAP端测试 数据证明 代码库排查 产品线排查修 复 排查修复 小流量上线 全流量上线 上线 我们近年得到的一些经验总结 经验总结 经验总结选准对象，把握推动顺序 HttpOnly CSP 统一登录 分散认证 模板安全 完美方案 ？ 背景： I P U 统一登录分散认证 核心思想： BDUSS+STOKEN， BDUSS共用，STOKEN 分散在重要产品线 统一登录分散认证 背景： 模板代码自动化安全检查 变量输出场景安全转义方法 HTML标签中或标签属性值中HTML编码 HTML标签链接属性值中URL编码 HTML标签事件属性值中Javascript转义+HTML编码 Script标签中Javascript转义 Json数据中HTML编码+Javascript转义 Callback回调函数名Callback转义 其他禁止 效果： 模板代码自动化安全检查 现场演示： 模板代码自动化安全转义 广告百度安全团队欢迎您 Thanks Q&A