安全研究

跨站(zhàn)攻擊漏洞

漏洞描述

跨站(zhàn)腳本攻擊(Cross-site scripting,簡稱XSS攻擊),通常發生在客戶端,可被用(yòng)于進行隐私竊取、釣魚欺騙、密碼偷取、惡意代碼傳播等攻擊行爲。XSS攻擊使用(yòng)到(dào)的技術主要爲HTML和(hé)Javascript腳本,也(yě)包括VBScript和(hé)ActionScript腳本等。
惡意攻擊者将對(duì)客戶端有危害的代碼放(fàng)到(dào)服務器上(shàng)作(zuò)爲一個網頁内容,用(yòng)戶不經意打開(kāi)此網頁時(shí),這(zhè)些(xiē)惡意代碼會(huì)注入到(dào)用(yòng)戶的浏覽器中并執行,從(cóng)而使用(yòng)戶受到(dào)攻擊。一般而言,利用(yòng)跨站(zhàn)腳本攻擊,攻擊者可竊取會(huì)話(huà)cookie,從(cóng)而獲得用(yòng)戶的隐私信息,甚至包括密碼等敏感信息

XSS攻擊對(duì)Web服務器本身雖無直接危害,但(dàn)是它借助網站(zhàn)進行傳播,對(duì)網站(zhàn)用(yòng)戶進行攻擊,竊取網站(zhàn)用(yòng)戶賬号信息等,從(cóng)而也(yě)會(huì)對(duì)網站(zhàn)産生較嚴重的危害。XSS攻擊可導緻以下(xià)危害:
釣魚欺騙:最典型的就是利用(yòng)目标網站(zhàn)的反射型跨站(zhàn)腳本漏洞将目标網站(zhàn)重定向到(dào)釣魚網站(zhàn),或者通過注入釣魚JavaScript腳本以監控目标網站(zhàn)的表單輸入,甚至攻擊者基于DHTML技術發起更高(gāo)級的釣魚攻擊。
網站(zhàn)挂馬:跨站(zhàn)時(shí),攻擊者利用(yòng)Iframe标簽嵌入隐藏的惡意網站(zhàn),将被攻擊者定向到(dào)惡意網站(zhàn)上(shàng)、或彈出惡意網站(zhàn)窗口等方式,進行挂馬攻擊。
身份盜用(yòng):Cookie是用(yòng)戶對(duì)于特定網站(zhàn)的身份驗證标志,XSS攻擊可以盜取用(yòng)戶的cookie,從(cóng)而利用(yòng)該cookie盜取用(yòng)戶對(duì)該網站(zhàn)的操作(zuò)權限。如果一個網站(zhàn)管理(lǐ)員用(yòng)戶的cookie被竊取,将會(huì)對(duì)網站(zhàn)引發巨大(dà)的危害。
盜取網站(zhàn)用(yòng)戶信息:當竊取到(dào)用(yòng)戶cookie從(cóng)而獲取到(dào)用(yòng)戶身份時(shí),攻擊者可以盜取到(dào)用(yòng)戶對(duì)網站(zhàn)的操作(zuò)權限,從(cóng)而查看(kàn)用(yòng)戶隐私信息。
垃圾信息發送:在社交網站(zhàn)社區(qū)中,利用(yòng)XSS漏洞借用(yòng)被攻擊者的身份發送大(dà)量的垃圾信息給特定的目标群。
劫持用(yòng)戶Web行爲:一些(xiē)高(gāo)級的XSS攻擊甚至可以劫持用(yòng)戶的Web行爲,從(cóng)而監視(shì)用(yòng)戶的浏覽曆史、發送與接收的數據等等。
XSS蠕蟲:借助XSS蠕蟲病毒還可以用(yòng)來(lái)打廣告、刷流量、挂馬、惡作(zuò)劇(jù)、破壞網上(shàng)數據、實施DDoS攻擊等。

修複建議(yì)

方案1
目前,雲盾的“DDoS高(gāo)防IP服務”以及“Web應用(yòng)防火牆”均提供對(duì)Web應用(yòng)攻擊的安全防護能(néng)力。選擇以上(shàng)服務開(kāi)通Web應用(yòng)攻擊防護,可以保障您的服務器安全。
方案2
将用(yòng)戶所提供的内容輸入輸出進行過濾。可以運用(yòng)下(xià)面這(zhè)些(xiē)函數對(duì)出現(xiàn)XSS漏洞的參數進行過濾:
PHP的htmlentities()或是htmlspecialchars()
Python的cgi.escape()
ASP的Server.HTMLEncode()
ASP.NET的Server.HtmlEncode()或功能(néng)更強的Microsoft Anti-Cross Site Scripting Library
Java的xssprotect(Open Source Library)
Node.js的node-validator
Copyright © 2019 All Rights Reserved Designed
杭州卓測網絡科技有限公司