XSS是跨站腳本攻擊,是爲了避免和層疊樣式表(Cascading Style Sheets, CSS)的縮寫混淆,故將跨站腳本攻擊縮寫爲XSS,XSS是一種在Web應用中的計算機安全漏洞,
它允許惡意web用戶將代碼植入到提供給其他用戶使用的頁面中
比如這些代碼包括HTML代碼和客戶端腳本。攻擊者利用XSS漏洞旁路掉訪問控制-例如同源策略,這種類型的漏洞由於被黑客用來編寫危害性大的網絡釣魚攻擊而變得廣爲人知
對於跨站腳本攻擊,黑客界共識:跨站腳本攻擊是新型的“緩衝區溢出攻擊”
首先是利用跨站腳本漏洞以一個特權模式去執行攻擊者構造的腳本,然後利用不安全的Activex控件執行惡意的行爲。使用htmlspecialchars()函數對提交的內容進行過濾,使字符串裏面的特殊符號實體化。
XSS危害包括:
1、盜取各類用戶帳號,如機器登錄帳號、用戶網銀帳號、各類管理員帳號
2、控制企業數據,包括讀取、篡改、添加、刪除企業敏感數據的能力
3、盜竊企業重要的具有商業價值的資料
4、非法轉賬
5、強制發送電子郵件
6、網站掛馬
7、控制受害者機器向其它網站發起攻擊
曾經有過案例:
新浪微博XSS受攻擊事件
百度貼吧XSS受攻擊事件:2014年2014年3月9晚,六安吧等幾十個貼吧出現點擊推廣貼會自動轉發等。並且吧友所關注的每個關注的貼吧都會轉一遍,病毒循環發帖。
並且導致吧務人員,和吧友被封禁。
防禦:
1.完善的過濾體系:永遠不相信用戶的輸入。需要對用戶的輸入進行處理,只允許輸入合法的值,其它值一概過濾掉。
2.Html encode:
假如某些情況下,我們不能對用戶數據進行嚴格的過濾,那我們也需要對標籤進行轉換。
比如用戶輸入:<script>window.location.href=”http://www.baidu.com”;</script>,保存後最終存儲的會是:<script>window.location.href="http://www.baidu.com"</script>在展現時瀏覽器會對這些字符轉換成文本內容顯示,而不是一段可執行的代碼。
它允許惡意web用戶將代碼植入到提供給其他用戶使用的頁面中
比如這些代碼包括HTML代碼和客戶端腳本。攻擊者利用XSS漏洞旁路掉訪問控制-例如同源策略,這種類型的漏洞由於被黑客用來編寫危害性大的網絡釣魚攻擊而變得廣爲人知
對於跨站腳本攻擊,黑客界共識:跨站腳本攻擊是新型的“緩衝區溢出攻擊”
首先是利用跨站腳本漏洞以一個特權模式去執行攻擊者構造的腳本,然後利用不安全的Activex控件執行惡意的行爲。使用htmlspecialchars()函數對提交的內容進行過濾,使字符串裏面的特殊符號實體化。
XSS危害包括:
1、盜取各類用戶帳號,如機器登錄帳號、用戶網銀帳號、各類管理員帳號
2、控制企業數據,包括讀取、篡改、添加、刪除企業敏感數據的能力
3、盜竊企業重要的具有商業價值的資料
4、非法轉賬
5、強制發送電子郵件
6、網站掛馬
7、控制受害者機器向其它網站發起攻擊
曾經有過案例:
新浪微博XSS受攻擊事件
百度貼吧XSS受攻擊事件:2014年2014年3月9晚,六安吧等幾十個貼吧出現點擊推廣貼會自動轉發等。並且吧友所關注的每個關注的貼吧都會轉一遍,病毒循環發帖。
並且導致吧務人員,和吧友被封禁。
防禦:
1.完善的過濾體系:永遠不相信用戶的輸入。需要對用戶的輸入進行處理,只允許輸入合法的值,其它值一概過濾掉。
2.Html encode:
假如某些情況下,我們不能對用戶數據進行嚴格的過濾,那我們也需要對標籤進行轉換。
比如用戶輸入:<script>window.location.href=”http://www.baidu.com”;</script>,保存後最終存儲的會是:<script>window.location.href="http://www.baidu.com"</script>在展現時瀏覽器會對這些字符轉換成文本內容顯示,而不是一段可執行的代碼。
