<cite id="vr9d1"></cite>

    <delect id="vr9d1"></delect>

      <font id="vr9d1"></font>

        <p id="vr9d1"><address id="vr9d1"></address></p>

        品牌咨詢:

        0571-89937200
        全面解析跨站腳本攻擊
        時間:2018-09-03 15:24:56    閱讀:3862

        作為網站的業務管理者,在欣賞自己為客戶提供的豐富業務和趣味性體驗時,你是否曾經想過網站會成為攻擊者攻擊第三方的媒介,從而導致公信度大為受損?作為一個網站的訪客,你是否曾經想過在訪問這個自己再熟悉不過的網站時,你的私密信息已經被他人竊取?

          這些都與跨站腳本攻擊有關。下面讓我們詳細了解這類攻擊。

          一、什么是跨站腳本?

          跨站腳本(Cross-site scripting,簡稱XSS),是一種迫使Web站點回顯可執行代碼的攻擊技術,而這些可執行代碼由攻擊者提供、最終為用戶瀏覽器加載。不同于大多數攻擊(一般只涉及攻擊者和受害者),XSS涉及到三方,即攻擊者、客戶端與網站。XSS的攻擊目標是為了盜取客戶端的cookie或者其他網站用于識別客戶端身份的敏感信息。獲取到合法用戶的信息后,攻擊者甚至可以假冒最終用戶與網站進行交互。

          XSS漏洞成因是由于動態網頁的Web應用對用戶提交請求參數未做充分的檢查過濾,允許用戶在提交的數據中摻入HTML代碼(最主要的是“>”、“<”),然后未加編碼地輸出到第三方用戶的瀏覽器,這些攻擊者惡意提交代碼會被受害用戶的瀏覽器解釋執行。

          二、XSS縮寫來源?

          依照英文縮寫習慣,簡稱跨站腳本為<a class="keyword_link" href="http://www.chinabyte.com/keyword/%3Ca%20href=" https:="" www.2cto.com="" kf="" qianduan="" css="" "="" target="_blank" style="color: rgb(31, 58, 135); text-decoration-line: none;">CSS/" id="k530842266" target="_blank">CSS。這樣會引起它和另一個名詞“層疊樣式表”(Cascading Style Sheets,CSS)的混淆。此CSS非彼CSS。為了以示區別,一些安全人士就習慣將跨站腳本簡稱為XSS。

          三、XSS存在哪些威脅?

          攻擊者可以利用XSS漏洞、借助存在漏洞的Web網站攻擊其他瀏覽相關網頁的用戶,竊取用戶瀏覽會話中諸如用戶名和口令(可能包含在cookie里)的敏感信息、通過插入惡意代碼對用戶執行掛馬攻擊。XSS漏洞還可能被攻擊者用于網頁篡改,只是多數情況為了經濟利益最大化,攻擊者不會直接進行篡改。

          四、XSS漏洞的普及率有多高?

          國際Web應用安全組織WASC(Web Application Security Consortium)最新數據[4]表明,采樣分析了10297個網站,其中有31.47%站點存在XSS漏洞,且XSS在發現的漏洞中占到總數的41.41%,高居榜首。


          圖1. 最為普及的Web應用安全漏洞[4]

          五、能否列舉XSS實例?

          2005年,一位叫Samy的MySpace用戶自創了一種XSS蠕蟲,24小時內,其網絡空間朋友數目成功從73上升到1百萬。

          2006年,PayPal遭到XSS攻擊,攻擊者將PayPal站點的訪問者重定向到一個新的頁面,上面警告用戶他們的帳號已經不再安全,需要重新設置,并提示輸入PayPal的登錄信息、用戶社保信息及信用卡信息。

          2008年5月,eBay承認其PayPal頁面存在XSS漏洞,該漏洞會被攻擊者用于盜取用戶證書或cookie。

          六、攻擊者如何通過XSS攻擊偷取cookie?

          在此,僅做舉例說明,幫助讀者理解XSS攻擊的思路。本文中的例子來自。

          首先,讓我們假設:存在一個網站www.vulnerablee****.com。該網站上有一個腳本welcome.cgi,參數設定為name。此腳本會讀取HTTP請求的部分,然后未做任何安全性驗證,就將請求內容部分或全部回顯到響應頁面。

          通常,如果用戶端發送以下請求:

          GET /welcome.cgi?name=Sammi HTTP/1.0Host: www.vulnerablee****.com

          服務器將會有如下響應:

          Hi SammiWelcome!...

          彈出Alert窗口示例

          上述機制將如何為攻擊者所利用呢?我們先列舉一個直觀的方法。通常,攻擊者會應用社會工程學(Social Engineering)設法誘騙受害者點擊由攻擊者精心構造的鏈接,如發送一封標題為“免費聽林肯公園北京現場演唱會”的郵件。

          攻擊者構造的惡意鏈接如下:

          http://www.vulnerablee**.com/welcome.cgi?name=

          受害者一旦點擊了惡意鏈接,會發送如下請求到www.vulnerablee***.site站點:

          GET /welcome.cgi?name= HTTP/1.0Host: www.vulnerablee****.com...

          站點將返回如下響應:

          HiWelcome!...

          因為服務器端返回的HTML頁面包含一段JavaScript代碼,受害者瀏覽器會解釋執行。這段代碼被執行后,將被允許訪問瀏覽器中屬于www.vulnerablee***.com站點的cookie。此時,用戶側瀏覽器上會彈出一個alert窗口。

          網站收集cookie示例

          真實的攻擊步驟中,這些cookie會被發送給攻 擊者。攻擊者為此會搭建一個網站(我們稱為www.attackere**.com),還會應用一個腳本負責接收盜取的cookie。攻擊者會寫一段惡意 代碼,用于實現訪問攻擊者站點、并能調用接收cookie的腳本。最終,攻擊者可以從www.attackere**om站點獲取到cookie。

          構造的惡意鏈接如下:

          http://www.vulnerablee**om/welcome.cgi?name=

          服務器響應內容顯示為:

          HiWelcome!...

          瀏覽器會加載服務器端返回頁面,執行內嵌的JavaScript,并發送一個請求到www.attackere**om站點上的 collect.cgi腳本,瀏覽器中保存的www.vulnerablee***.com站點的cookie值也會一起發送過去。攻擊者獲取到客戶在 www.vulnerablee***.com站點的cookie,還可以假冒受害者。

          七、加密是否能有效防護XSS攻擊?

          通常大家會認為如果網站使用了HTTPS,提供更有保障的安全,可以幸免于XSS攻擊。其實這是一種誤解。HTTPS僅提供傳輸層的安全,在應用層仍然面臨XSS的威脅。

          八、XSS漏洞是否可能引起非法執行命令?

          如果瀏覽器設置安全性不夠時,XSS漏洞允許插入JavaScript,也就意味著攻擊者可能獲取受限的客戶端執行權限。如果攻擊者進而利用瀏覽器的漏洞,就有可能在客戶端非法執行命令。簡言之,XSS漏洞有助于進一步利用瀏覽器漏洞。

          九、從網站開發者角度,如何防護XSS攻擊?

          來自應用安全國際組織OWASP的建議,對XSS最佳的防護應該結合以下兩種方法:驗證所有輸入數據,有效檢測攻擊;對所有輸出數據進行適當的編碼,以防止任何已成功注入的腳本在瀏覽器端運行。具體如下:

          輸入驗證:某個數據被接受為可被顯示或存儲之前,使用標準輸入驗證機制,驗證所有輸入數據的長度、類型、語法以及業務規則。

          強壯的輸出編碼:數據輸出前,確保用戶提交的數據已被正確進行entity編碼,建議對所有字符進行編碼而不僅局限于某個子集。

          明確指定輸出的編碼方式(如ISO 8859-1或 UTF 8):不要允許攻擊者為你的用戶選擇編碼方式。

          注意黑名單驗證方式的局限性:僅僅查找或替換一些字符(如"<" ">"或類似"script"的關鍵字),很容易被XSS變種攻擊繞過驗證機制。

          警惕規范化錯誤:驗證輸入之前,必須進行解碼及規范化以符合應用程序當前的內部表示方法。請確定應用程序對同一輸入不做兩次解碼。

          十、從網站用戶角度,如何防護XSS攻擊?

          當你打開一封Email或附件、瀏覽論壇帖子時,可能惡意腳本會自動執行,因此,在做這些操作時一定要特別謹慎。建議在瀏覽器設置中關閉JavaScript。如果使用IE瀏覽器,將安全級別設置到“高”。具體可以參照瀏覽器安全的相關文章。

          這里需要再次提醒的是,XSS攻擊其實伴隨著社會工程學的成功應用,需要增強安全意識,只信任值得信任的站點或內容。

          十一、如果修補XSS漏洞對網站來說困難較大,不修補會怎樣?

          如果不能及時修補XSS漏洞,網站可能成為攻擊者攻擊第三方的媒介,公信度受損;網站用戶成為受害者,敏感信息泄漏?,F實中,確實存在某些無法修補漏洞的客觀原因,如Web應用開發年代久遠或者整改代碼需要付出過于高昂的代價。這種情況下, 選擇Web安全網關會是一種合理選擇。正確應用這類安全工具,會極大緩解XSS攻擊,降低安全風險。

          十二、下一代XSS會是怎樣的?

          隨著AJAX(Asynchronous JavaScript and XML,異步JavaScript和XML)技術的普遍應用,XSS的攻擊危害將被放大。使用AJAX的最大優點,就是可以不用更新整個頁面來維護數 據,Web應用可以更迅速地響應用戶請求。AJAX會處理來自Web服務器及源自第三方的豐富信息,這對XSS攻擊提供了良好的機會。AJAX應用架構會泄漏更多應用的細節,如函數和變量名稱、函數參數及返回類型、數據類型及有效范圍等。AJAX應用架構還有著較傳統架構更多的應用輸入,這就增加了可被攻擊的點。


        我要直達 網站建設 小程序 VR全景
        chinesemature老熟妇japanese55丰满熟妇oidgrαnny日本老熟妇比较有韵味的熟妇无码丰满熟妇hd国产农村熟妇videos巨大垂乳日本熟妇六十路熟妇videos农村老熟妇乱子伦视频欧美老熟妇乱子伦视频欧洲熟妇性色黄日本熟妇日本熟妇乱子a片日本熟妇色videosex熟妇熟妇好大好深好满好爽熟女毛多熟妇人妻在线视频无码老熟妇乱子伦视频亚洲丰满熟妇在线播放正在播放老肥熟妇露脸,chinesemature老熟妇oldmanjapanese老熟妇乱子伦视频oldvideo熟妇日本沉沦的熟妇教师风韵多水的老熟妇国内老熟妇露脸视频老熟妇大胆性开放图美丽的熟妇中文字幕弄的老熟妇受不了了欧美老熟妇欲乱高清视频日本丰满熟妇高清av日本熟妇av日本熟妇浓毛日本熟妇色在线视频不卡熟妇吧熟妇就是水多12p熟女少妇人妻中文字幕五十路六十路老熟妇a片亚洲老妇老熟妇中国白胖肥熟妇bbw,chinesevideo国产熟妇japanese日本熟妇oldwoman老熟妇厨房征服短裙熟妇国产亚洲熟妇国内老熟妇乱子伦视频老熟妇乱子伦牲交视频免费老熟妇牲交大全视频中文欧美30.40.50熟妇性无码欧美熟妇日本丰满熟妇人妻av无码区日本熟妇hd日本熟妇浓毛hdsex如狼似虎的熟妇14p熟妇的荡欲熟妇乱伦双飞风韵犹存两个熟妇五十路熟妇高熟无码亚洲熟妇av一区中国熟妇xxxx,chinese丰满熟妇videosjapanese日本熟妇在线video日本老熟妇东北50岁熟妇露脸在线国产50岁熟妇露脸很有味道的熟妇[15p]老熟妇乱子伦系列视频免费中文熟妇在线影片欧美304050熟妇性无码欧美熟妇dodk巨大日本老熟妇乱子伦视频日本熟妇oldwomen日本熟妇人妻xxxxx如狼似虎的熟妇24p熟妇的荡欲bd高清熟妇人妻videos玩弄肥美高大的熟妇小伙大战两老熟妇在线播放五十路熟妇综合色区亚洲熟妇p,chinese中年熟妇freejapanese熟女熟妇xxx中国熟妇xxx丰满熟妇bbwbbwbbwbbw国产东北露脸熟妇很有味道的熟妇15p两熟妇玩双飞真舒服内地中年熟妇露脸视频欧美84老熟妇欧洲熟妇精品视频日本老太老熟妇日本熟妇xxx日本熟妇色videos如狼似虎的熟妇好爽熟妇的荡欲视频在线熟妇性服务俱乐部我和饥渴的老熟妇性中国熟妇videofreesex征服了高贵的美熟妇局长babescom欧美熟妇