我们正在尝试分析我们的一个 MVC 应用程序上的一些攻击向量,并且我们正在考虑编写一些代码来防止用户使用我们认为太不安全的浏览器[版本]访问我们的网站。
例如,任何低于 IE 7 的内容都将被我们的网站禁止。
任何未实现 HttpOnly cookie 或存在严重已知漏洞/脚本问题的浏览器 [+version] 都将在我们的观察列表中。
如果没有关于所有版本的 IE 完全不安全(!)的明显讽刺评论,您会认为哪些浏览器和/或版本有风险?IE 往往会受到所有负面报道,但 Chrome 的第 1 版或 Safari 的第 3 版等呢?
老实说,我仍然认为最不安全的浏览器是 IE。IE 有很多崩溃和很多代码执行错误。在 2012 年的最后几天,蓝洞 0-day 漏洞被发现被广泛利用。但我不记得我见过的最后一个错误,它在启用 DEP 和 ASLR 的 Windows 7 中成功执行 shellcode。对于 Firefox 和 Chrome,那些日子几乎过去了。特别是 chrome 沙箱非常安全。我只看到 Vupen 发现了一个 0-day 漏洞,它像 1 年前一样在 Chrome 中执行代码。
您可以查看每个产品每年的漏洞列表,还可以查看错误分类。 http://www.cvedetails.com/product/3264/Mozilla-Firefox.html?vendor_id=452
将产品更改为 Chrome、Internet Explorer 和 Safari。
IE 也很容易受到第三方插件的攻击,你可以在 IE 上更轻松地实现代码执行。
如果您有更具体的问题,请询问。