面对跨站脚本攻击XSS的安全防御的有价值的建议

安全 应用安全
我们今天是要和大家一起讨论的是面对跨站脚本攻击XSS的安全防御的相关建议,以下就是文章的主要内容的详细解析,望大家会对其有更好的收获。

此文章主要阐述的是面对跨站脚本攻击XSS的安全防御的相关建议,你如果对跨站脚本攻击XSS的安全防御的相关建议有兴趣的话你就可以点击以下的文章进行观看了,以下就是文章的详细内容介绍,望大家借鉴。

XSS攻击作为Web业务的最大威胁,危害的不仅仅是Web业务本身,对访问Web业务的用户也会带来直接的影响,如何防范和阻止XSS攻击,保障Web站点的业务安全呢?

首先我们就要了解什么是XSS攻击。

第 1 页 面对跨站脚本攻击XSS的安全防御建议

 

XSS攻击作为Web业务的最大威胁之一,不仅危害Web业务本身,对访问Web业务的用户也会带来直接的影响,如何防范和阻止XSS攻击,保障Web站点的业务安全呢?首先我们就要了解什么是XSS攻击。

 

一 什么是XSS攻击:

XSS的全称是Cross Site Scripting,意思是跨站脚本。这第一个单词是Cross,为什么缩写成X呢?因为CSS是层叠样式表的缩写(Cascading Style Sheets)的缩写,同时Cross发音和X相似,为了避免混淆用X来代替,缩写成XSS。它指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意用户的特殊目的。XSS属于被动式的攻击,因为其被动且不好利用,所以许多人常呼略其危害性。

二 XSS的攻击方式:

跨站攻击有多种方式,由HTML语言允许使用脚本进行简单交互,入侵者便通过技术手段在某个页面里插入一个恶意HTML代码--例如记录论坛保存的用户信息(Cookie),由于Cookie保存了完整的用户名和密码资料,用户就会遭受安全损失。当然,攻击者有时也会在网页中加入一些以.JS或.VBS为后尾名的代码时,在我们浏览时,同样我们也会被攻击到。

三 XSS攻击的危害:

1、盗取各类用户帐号,如机器登录帐号、用户网银帐号、各类管理员帐号

2、控制企业数据,包括读取、篡改、添加、删除企业敏感数据的能力

3、盗窃企业重要的具有商业价值的资料

4、非法转账

5、强制发送电子邮件

6、网站挂马

7、控制受害者机器向其它网站发起攻击

四 XSS攻击漏洞:

XSS攻击分成两类,一类是来自内部的攻击,主要指的是利用程序自身的漏洞,构造跨站语句,如:dvbbs的showerror.asp存在的跨站漏洞。另一类则是来来自外部的攻击,主要指的自己构造跨站脚本攻击XSS跨站漏洞网页或者寻找非目标机以外的有跨站漏洞的网页。如当我们要渗透一个站点,我们自己构造一个有跨站漏洞的网页,然后构造跨站语句,通过结合其它技术,如社会工程学等,欺骗目标服务器的管理员打开。

五 XSS的基本防御技术:

1、基于特征的防御:XSS漏洞和著名的SQL注入漏洞一样,都是利用了Web页面的编写不完善,所以每一个漏洞所利用和针对的弱点都不尽相同。这就给XSS漏洞防御带来了困难:不可能以单一特征来概括所有XSS攻击。传统XSS防御多采用特征匹配方式,在所有提交的信息中都进行匹配检查。对于这种类型的XSS攻击,采用的模式匹配方法一般会需要对"javascript"这个关键字进行检索,一旦发现提交信息中包含"javascript",就认定为XSS攻击。这种检测方法的缺陷显而易见:骇客可以通过插入字符或完全编码的方式躲避检测:

躲避方法1)在javascript中加入多个tab键,得到

< IMG SRC="jav ascript:alert('XSS');" >;

躲避方法2) 在javascript中加入&#x09编码字符,得到

< IMG SRC="javascript:alert('XSS');" >;

躲避方法3) 在javascript中加入

字符,得到

< IMG SRC="jav

ascript:alert('XSS');" >;

上述的相关内容就是对面对跨站脚本攻击XSS的安全防御建议的描述,希望会给你带来一些帮助在此方面。

责任编辑:佚名 来源: 安全在线
相关推荐

2010-09-10 14:13:11

2017-06-14 16:08:31

2013-01-11 17:33:46

2015-02-01 09:26:10

2010-09-10 10:57:33

2012-11-15 09:51:36

2020-12-21 09:40:06

脚本攻击XSS漏洞

2010-09-10 09:18:51

2012-11-09 15:42:44

2012-04-12 14:45:13

2009-09-24 09:52:20

2015-08-14 13:17:55

2010-09-09 11:19:10

2010-09-27 17:37:10

2013-01-28 16:44:50

2013-05-28 14:18:04

2010-06-07 20:19:49

2012-08-20 09:53:48

编程编程建议程序员

2010-06-30 16:26:05

2022-08-29 07:11:05

业务数据模板
点赞
收藏

51CTO技术栈公众号