视频demo:http://v.youku.com/v_show/id_XMTQ1MjE0NjM2OA==.html
高清版:https://0kee.360.cn/hxj/demo
简介
护心镜 是由360 WEB攻防团队0Kee Team开发用来防御前端脚本攻击的工具,由浏览器扩展和告警平台两部分组成。安装了护心镜的浏览器,可降低网站后台、邮箱等账户被黑客控制的风险。
目前为止,没有任何一款杀毒软件可以让浏览器主动防御XSS攻击。
如果您是邮箱、微博等社交应用的重度用户,或者工作中有比较重要的网站后台,都可使用本工具进行保护。
安装
Chrome市场安装地址:
安装成功后会在浏览器的右上角多处一个控制按钮。
登录
打开https://0kee.360.cn/hxj/,注册360账户登录。
单击浏览器右上角的按钮,扩展会检测在0kee.360.cn的登录状态并自动登录。第一次登录服务器会推送四个默认配置,分别是“QQ邮箱、126邮箱、163邮箱、新浪微博”,如果经常使用这些业务,建议勾选,护心镜可针对这些应用实施保护。
配置
点击右上角的添加按钮,可以新增配置项目。点击项目名称可以进行修改,界面如下:
如果您不知道如何配置,请点击右上角的+号按钮,稍等几秒钟,可以自动生成一个参考配置,然后点击保存按钮即可。
技术人员可查看 帮助-配置说明 了解详细信息。
开关
在护心镜配置列表页右上角,有一个总开关按钮。
在总开关开启的状态下,勾选各项目“是否启用”,刷新页面即可生效。
附录
项目名称
配置模版的名称。
域名白名单
网站中正常使用的资源(包括js、图片、flash、css文件)所在域名。填入的域名,已默认包含其所在的子域名。例如填写360.cn,护心镜会认为*.360.cn也在白名单范围内。
如果漏填的域名,可能会造成误报,可以在告警中找到这些域名并填入白名单。
URL作用域
规定了这个模版在哪个URL下起作用,支持*号通配符。
处理方式
放行、阻断、提示用户选择。首先来说不管选择哪种方式都是可以发送告警信息的。只是发送告警信息后对危险操作的处理不同。
插件
不同的插件对应不同的防御点。
u Cookie保护:防御最常见的Cookie攻击,建议勾选。
u XSS感知:对于黑客的XSS尝试进行预警。
u 反表单劫持:在你输入密码的时候保护你的明文密码的安全。
u 反钓鱼:防御部分钓鱼攻击。
u 第三方资源探测:引用白名单之外的js的时候触发告警,在白名单配置无误的情况下建议勾选。
u Webshell上传探测:管理员后台建议配置该项。防止黑客通过CSRF直接攻击服务器。
另外,护心镜还提供了一键配置的功能,会依据当前标签页的网页内容生成配置,并添加到配置项当中,内容仅供参考。
鸣谢以下白帽子和站长的积极反馈,为护心镜完善做出贡献:
短点、Shadow、蚁逅、隐形人真忙、tig3r、终蓝(www.6so.so)
还没有评论,来说两句吧...