xss攻击 Web安全新挑衅[网络技术]

随着SQL注入攻击日益低沉,由于Web业务的代码编写人员不严谨的字符限制而招致的XSS漏洞呈现,XSS攻击成为了一种新的安全挑衅.

1.什么是XSS(跨站脚本)攻击?

XSS攻击:跨站脚本攻击(Cross Site Scripting),为不和层叠款式表(Cascading Style Sheets, CSS)的缩写混合,故将跨站脚本攻击缩写为XSS.XSS是一种常常呈目前Web利用中的计算机安全漏洞,它答应恶意Web用户将代码植入到供应应别的用户利用的页面中,比方HTML代码和客户端脚本.攻击者操纵XSS漏洞旁路掉拜候掌握——比方同源战略(same origin policy).这种范例的漏洞由于被骇客用来编写危害性更大的phishing攻击而变得广为人知.关于跨站脚本攻击,黑客界共识是:跨站脚本攻击是新型的"缓冲区溢出攻击",而JavaScript是新型的"ShellCode".

XSS攻击和前段时间甚嚣尘上的SQL注入攻击一样,都是由于Web业务的代码编写人员不严谨的字符限制而招致的:当某个站点答应用户提交java script脚本(这在Web2.0年代非常广泛),而又没有对这些脚本举行严峻解析,就有大概存在XSS漏洞.这就决意了XSS漏洞的独特点:任何答应提交脚本的页面都大概存在XSS漏洞,并且这些漏洞大概各不相同.

2.若何防备XSS攻击?

业内对XSS漏洞的防备普通有两种方法.

第一种方法就是代码改正,对用户全部提交内容举行考证,包含URL、查询关键字、HTTP头、POST数据等,仅承受指定长度范围内、采取得当格局、采取所预期的字符的内容提交,对别的的一概过滤.接下来就是实现Session标志(session tokens)、CAPTCHA系统大概HTTP引用头查抄,以防功效被第三方网站所履行.最后一步就是确认接纳的的内容被妥善的标准化,仅包含最小的、安全的Tag(没有javascript),去掉任何对远程内容的引用(特别是款式表和javascript),利用HTTP only的cookie.

但这种办法将降低Web业务的交互本领,用户仅能提交少量指定的字符,不适应那些交互性要求较高的业务系统.并且Web业务的编码人员很少有受过正规的安全培训,即就是专业的安全公司,由于侧重点的差别,也很难完好避免XSS攻击:2008年1月,xssed.com的一份报告指出McAfee、Symantec、VeriSign这三家安全公司的官方站点存在约30个XSS漏洞.

第二种方法就是布置专业的防备设备,目前较为风行的有入侵防备产品,操纵的就是入侵防备产品对利用层攻击的检测防备本领.用户在挑选呼应的产品之前,最好先理解一下相关产品的XSS、SQL注入等Web威胁的检测方法,有一些入侵防备产品采取的还是传统的特点匹配办法,如对经典的XSS攻击来说,就是定义"javascript"这个关键字举行检索,一旦发现提交信息中包含"javascript",就认定为XSS攻击.这种情势匹配的办法缺陷显而易见:通过编码或插入TAB键方法可以简单躲避,并且还存在极大的误报大概,如"http://www.xxx.com/javascript/kkk.asp?id=2345"这样一个URL,由于包含了关键字"javascript",也将会触发报警.

对比好的方法是挑选那些基于攻击伎俩大概说基于攻击原理检测的入侵防备产品.启明星辰公司于近期公布天清入侵防备系统的新版本,没有采取传统的特点匹配方法,而是采取了行为特点解析方法,通过解析XSS全部大概的攻击伎俩,成立一个XSS攻击行为库来解析判断XSS攻击.采取了这种办法的入侵防备产品可以避免传统安全产品在XSS攻击检测上的漏报和误报,实现切确阻断,为面对XSS威胁的广大网络管理员供应一个很好的挑选.