快速回顧
XSS的歷史
Ø XSS很早就在網上存在。
Ø 1999年,Georgi Guninski和David Ross聯合發表了第一篇關於XSS威脅標題爲“腳本注入”的論文。
Ø 2005年,第一個廣爲人知的XSS蠕蟲病毒***流行社交網站MySpace。
Web應用安全
Ø Web互聯網上有超過800萬網民,100萬個網站,每天交易在網上交易數十億美元。
Ø 各種基於web軟件的安全統稱爲web 應用安全。
Ø Web的流量經常是被防火牆允許的。
Ø XSS儘管是web應用安全的一小部分領域,但是卻代表着最大的威脅。
XML 和 AJAX介紹
Ø AJAX是一系列技術用來提高web應用程序的用戶體驗,提供更好的可用性,和加快訪問的速度。
Ø AJAX的核心組件是XMLHttpRequest對象,通過瀏覽器提供在請求和回覆上更強大的控制。
Ø DOM是定義怎麼解析XML樹結構的一個W3C標準。
常見問題(FAQ)
下面的常見問答是用來幫助你更好地理解本章的概念。如果對本章有任何疑問可以瀏覽www.syngress.com/solutions然後點擊“Ask the Author”表單。
Q:HTML注入和XSS有什麼區別?
A:他們確切地說是相同的。在某種情況下,***者注入有效的HTML標記,然而在其他情況下,***者不僅注入HTML標記而且嘗試執行一個腳本。
Q:有沒有一些防病毒軟件可以防禦XSS***?
A:沒有。防病毒軟件防禦病毒和惡意代碼(可能由XSS漏洞產生)。一些防病毒軟件可以檢測惡意代碼,但是他們不能防禦XSS的發生。
Q:XSS蠕蟲會在我係統上傳播嗎?
A:XSS蠕蟲影響web應用程序,他們唯一能傳播的路徑就是利用XSS漏洞。但是,有很多瀏覽器的BUG可以導致***你的系統。在那種情況下,XSS蠕蟲利用瀏覽器bug可以危害你的系統。
Q:XSS來***爲危害我沒有訪問的在線帳號,是真的嗎?
A:瀏覽器是你信任網絡和不信任網絡的中間件。每次你瀏覽一個網頁,你悄悄下載腳本然後在瀏覽器中的另一個環境執行。這些腳本可以訪問內部網絡地址然後他們可以在內部網絡傳播。
Q:所有的AJAX應用都存在XSS***的漏洞?
A:儘管大多數的web應用有XSS問題,但是要理解的是,XSS是由客戶端/服務端腳本對用戶輸入過濾不嚴格引起的。如果你遵循一個強安全實踐,你可以預防XSS從過濾或者轉義不希望的字符事件開始。