面對跨站腳本攻擊XSS的安全防御的有價值的建議
此文章主要闡述的是面對跨站腳本攻擊XSS的安全防御的相關建議,你如果對跨站腳本攻擊XSS的安全防御的相關建議有興趣的話你就可以點擊以下的文章進行觀看了,以下就是文章的詳細內容介紹,望大家借鑒。
XSS攻擊作為Web業務的最大威脅,危害的不僅僅是Web業務本身,對訪問Web業務的用戶也會帶來直接的影響,如何防范和阻止XSS攻擊,保障Web站點的業務安全呢?
首先我們就要了解什么是XSS攻擊。
第 1 頁 面對跨站腳本攻擊XSS的安全防御建議
XSS攻擊作為Web業務的最大威脅之一,不僅危害Web業務本身,對訪問Web業務的用戶也會帶來直接的影響,如何防范和阻止XSS攻擊,保障Web站點的業務安全呢?首先我們就要了解什么是XSS攻擊。
一 什么是XSS攻擊:
XSS的全稱是Cross Site Scripting,意思是跨站腳本。這第一個單詞是Cross,為什么縮寫成X呢?因為CSS是層疊樣式表的縮寫(Cascading Style Sheets)的縮寫,同時Cross發音和X相似,為了避免混淆用X來代替,縮寫成XSS。它指的是惡意攻擊者往Web頁面里插入惡意html代碼,當用戶瀏覽該頁之時,嵌入其中Web里面的html代碼會被執行,從而達到惡意用戶的特殊目的。XSS屬于被動式的攻擊,因為其被動且不好利用,所以許多人常呼略其危害性。
二 XSS的攻擊方式:
跨站攻擊有多種方式,由HTML語言允許使用腳本進行簡單交互,入侵者便通過技術手段在某個頁面里插入一個惡意HTML代碼--例如記錄論壇保存的用戶信息(Cookie),由于Cookie保存了完整的用戶名和密碼資料,用戶就會遭受安全損失。當然,攻擊者有時也會在網頁中加入一些以.JS或.VBS為后尾名的代碼時,在我們瀏覽時,同樣我們也會被攻擊到。
三 XSS攻擊的危害:
1、盜取各類用戶帳號,如機器登錄帳號、用戶網銀帳號、各類管理員帳號
2、控制企業數據,包括讀取、篡改、添加、刪除企業敏感數據的能力
3、盜竊企業重要的具有商業價值的資料
4、非法轉賬
5、強制發送電子郵件
6、網站掛馬
7、控制受害者機器向其它網站發起攻擊
四 XSS攻擊漏洞:
XSS攻擊分成兩類,一類是來自內部的攻擊,主要指的是利用程序自身的漏洞,構造跨站語句,如:dvbbs的showerror.asp存在的跨站漏洞。另一類則是來來自外部的攻擊,主要指的自己構造跨站腳本攻擊XSS跨站漏洞網頁或者尋找非目標機以外的有跨站漏洞的網頁。如當我們要滲透一個站點,我們自己構造一個有跨站漏洞的網頁,然后構造跨站語句,通過結合其它技術,如社會工程學等,欺騙目標服務器的管理員打開。
五 XSS的基本防御技術:
1、基于特征的防御:XSS漏洞和著名的SQL注入漏洞一樣,都是利用了Web頁面的編寫不完善,所以每一個漏洞所利用和針對的弱點都不盡相同。這就給XSS漏洞防御帶來了困難:不可能以單一特征來概括所有XSS攻擊。傳統XSS防御多采用特征匹配方式,在所有提交的信息中都進行匹配檢查。對于這種類型的XSS攻擊,采用的模式匹配方法一般會需要對"javascript"這個關鍵字進行檢索,一旦發現提交信息中包含"javascript",就認定為XSS攻擊。這種檢測方法的缺陷顯而易見:駭客可以通過插入字符或完全編碼的方式躲避檢測:
躲避方法1)在javascript中加入多個tab鍵,得到
< IMG SRC="jav ascript:alert('XSS');" >;
躲避方法2) 在javascript中加入	編碼字符,得到
< IMG SRC="javascript:alert('XSS');" >;
躲避方法3) 在javascript中加入
字符,得到
< IMG SRC="jav
ascript:alert('XSS');" >;
上述的相關內容就是對面對跨站腳本攻擊XSS的安全防御建議的描述,希望會給你帶來一些幫助在此方面。