网站首页  注册会员  本站免费电影 留言板  繁體中文

 

您现在的位置: 陈鹏个人网站 >> 电脑应用 >> 网络应用 >> 网络安全 >> 正文
 

|
闂傚倸鍊搁崐鎼佸磹閹间礁纾归柟闂寸绾惧綊鏌i幋锝呅撻柛濠傛健閺屻劑寮村Δ鈧禍鎯ь渻閵堝簼绨婚柛鐔告綑閻g柉銇愰幒婵囨櫔闂佸憡渚楅崹浼村极閹间焦鈷掑〒姘e亾闁逞屽墰閸嬫盯鎳熼娑欐珷闁规鍠氱壕濂稿级閸稑濡兼繛鎼枟椤ㄣ儵鎮欑€涙ê纾冲Δ鐘靛仦鐢帡鍩為幋锕€閱囨繝闈涙搐閳ь剦鍨跺铏规嫚閸欏鏀銈庡亜椤︻垳鍙呭┑鈽嗗灣閸樠囧垂濠靛鐓欓柟瑙勫姦閸ゆ瑧绱掗悩鍙夎础闁瑰弶鎮傞幃褔宕煎┑鍛灁闂備浇妗ㄧ粈渚€宕幘顔艰摕闁靛ǹ鍎弨浠嬫煕閳╁厾顏勨枍閿濆棛绡€缁剧増锚婢ф彃鈹戦悙璇у伐妞ゎ偄绻掔槐鎺懳熺拠宸偓鎾绘⒑閸涘﹦鈽夐柨鏇樺劦瀹曟洟骞樼紒妯锋嫼闂佸憡绺块崕鍗炩枍韫囨稒鐓曢悗锝庝悍瀹搞儵鏌i敐鍥у幋妤犵偛娲、娑樜熺憴鍕綎闂傚倷绀佸﹢閬嶅磿閵堝鍨傞柤绋跨仛缂嶅洭鏌涢鐘插姕妞ゃ儱锕ラ妵鍕箛閳轰胶浠炬繝銏f硾鐎氫即寮婚悢鍓叉Ч閹兼番鍨瑰▓宀勬⒑鐎圭姵顥夋い锕€鐏氶幈銊╁焵椤掑嫭鐓冮柍杞扮閺嗙偤鏌e┑鍥р枙婵﹦绮幏鍛存惞楠炲簱鍋撴繝鍥ㄧ厱闁规儳顕粻鐐烘煙椤旀儳鍘村┑锛勫厴閸┾剝鎷呴崫鍕疄闂佽楠搁崢婊堝磻閹剧粯鐓曢柡鍥ュ妼閸樻挳鏌熼柨瀣仢婵﹤顭峰畷鎺戭潩閸楃儐鏉哥紓鍌欑椤戝棛鏁敓鐘叉瀬鐎广儱顦猾宥夋煕椤愩倕鏋旈柛妯兼暬濮婃椽宕ㄦ繝鍌滀户闂佺ǹ锕ラ悧婊堝焵椤掍胶鍟查柟鍑ゆ嫹
|
缂傚倸鍊搁崐鎼佸磹閹间礁纾归柟闂寸绾惧綊鏌i幋锝呅撻柛銈呭閺屾盯顢曢敐鍡欘槰闂佽鍨抽崑銈夌嵁閺嶎灔搴敆閳ь剚淇婃總鍛婄厽妞ゆ挾鍣ュ▓婊勵殽閻愬澧懣鎰亜閹哄棗浜炬繝寰枫倕浜圭紒杈ㄥ浮閸┾偓妞ゆ帒瀚壕鍏肩箾閹寸偞鐨戞い鏃€娲熷娲偡闁箑娈堕梺绋匡攻閸ㄧ敻锝炲┑鍫熷磯闁告繂瀚▓銈夋⒑閻熸澘鎮戦柣锝庝邯瀹曟繂顓兼径瀣簵闂婎偄娲︾粙鎾诲矗閹剧粯鐓曢柕澶樺枤娴滀粙鏌涢鐘插姎缁炬儳顭烽弻鐔煎箚瑜忛敍宥夋煛閸☆厾鐣甸柡灞剧洴婵$兘濮€閳╁啰褰囬柣搴ゎ潐閹搁娆㈠顒夋綎濠电姵鑹剧壕鍏肩箾閸℃ê鐒炬俊宸櫍濮婂搫效閸パ€鍋撻弴鐏绘椽濡舵径鍫氬亾閸涱喚闄勭紒瀣嚦閳哄懏鐓冮柛婵嗗閳ь剛枪閳绘捇骞嬮敂瑙f嫼闂佸憡鎸昏ぐ鍐╃濠靛洨绠鹃柛娆忣槺婢х數鈧娲栫紞濠傜暦閹烘鍊烽悗鐢登瑰鎶芥⒒娴h櫣甯涙繛鍙夌墵瀹曟劙宕烽娑樹壕婵ḿ鍋撶€氾拷
|
濠电姷鏁告慨鐑藉极閸涘﹥鍙忛柣鎴f閺嬩線鏌熼梻瀵割槮缁惧墽绮换娑㈠箣濞嗗繒浠鹃梺绋款儍閸婃繈寮婚弴鐔虹鐟滃秹骞婃惔銊ユ辈婵°倕鎳忛埛鎴犵磼鐎n厽纭堕柣蹇涗憾閺屾稓鈧綆鍋嗛妴鎺旂磼椤旇偐澧︾€规洘锕㈤、娆撴偩鐏炶棄绗氶梻鍌欑閹诧紕鎹㈤崒婧惧亾濮樼厧澧撮柛鈹惧亾濡炪倖甯婇悞锕傚磹閹邦喒鍋撶憴鍕缂侇喗鎹囬妴浣肝旈崨顓狀槹濡炪倖鍨兼慨銈団偓姘偢濮婃椽鎳¢妶鍛呫垺绻涘ù瀣珖濞存粎枪閳诲酣骞樺畷鍥舵П闂備線娼荤€靛矂宕㈤崜褍顥氬┑鍌氭啞閻撶姷鐥弶鍨埞濠⒀傚嵆閹粙顢涘☉姘モ偓鎺旂磼鏉堛劌娴€殿噮鍣e畷鎺戭潩椤撶姳閭梺璇叉唉椤煤閺嶎厼围闁告稑锕g换鍡涙煟閹达絾顥夐崬顖炴偡濠婂啰绠伴柣锝囧厴瀹曞ジ寮撮悢鍙夊濠电偠鎻紞鈧┑顔哄€楀☉鐢稿醇閺囩喓鍘遍梺鎸庣箓缁绘帡鎮鹃崹顐闁绘劘灏欑粻濠氭煛娴h宕岄柡浣规崌閺佹捇鏁撻敓锟�
|
闂傚倸鍊搁崐鎼佸磹閹间礁纾瑰瀣捣閻棗銆掑锝呬壕濡ょ姷鍋為悧鐘汇€侀弴姘辩Т闂佹悶鍎洪崜姘舵倿閼测斁鍋撻獮鍨姎闁硅櫕鍔欓弫宥夋偄閸忓皷鎷洪梺闈╁瘜閸樺ジ銆傞崗鑲╃瘈闁靛繆妲勯懓璺ㄢ偓瑙勬礀缂嶅﹤鐣烽幒鎴旀闁哄稄濡囬惄搴ㄦ⒒娴e憡鎯堢紒澶嬬叀瀹曟繂鐣濋崟顒€鈧法鎲搁悧鍫濈瑲闁绘挻鐩幃妤呮晲鎼存繈鍋楅梺鍛婄懃鐎氫即寮婚敍鍕勃闁绘劦鍓涢ˇ顔剧磽娴e搫校缂佸甯為幑銏犫攽鐎n亞顦ㄩ梺闈涒康婵″洩銇愰幘顔解拻闁稿本鐟ㄩ崗宀勫几椤忓懌浜滈柟瀛樼箖椤ャ垺顨ラ悙鏉戝妤犵偞鐗楅幏鍛村传閵夈儱缁╂繝鐢靛О閸ㄧ厧鈻斿☉銏℃櫇闁挎洖鍊稿Ч鏌ユ煥閺囩偛鈧綊鎮¢弴銏$厪濠㈣泛鐗嗛悘顏呯箾閸涱厽顥炵紒缁樼洴瀹曞ジ鎮㈤幖鐐拌檸婵犳鍠栭敃銊モ枍閿濆绠柣妯款嚙缁犵敻鏌熼悜妯肩畵濠碉紕鍏樺缁樻媴閾忕懓绗″┑鈽嗗亜缁绘ê鐣峰⿰鍫熷亜闁兼祴鏅涚粊锕傛椤愩垺澶勭紒瀣浮瀵煡骞栨担鍦弳闂佺粯娲栭崐鍦偓姘炬嫹
|
缂傚倸鍊搁崐鎼佸磹閹间礁纾归柟闂寸绾惧綊鏌熼梻瀵割槮缁炬儳缍婇弻鐔兼⒒鐎靛壊妲紒鐐劤缂嶅﹪寮婚悢鍏尖拻閻庨潧澹婂Σ顕€姊哄Ч鍥р偓銈夊窗濡ゅ懎桅闁告洦鍨伴崘鈧銈嗗姦濠⑩偓缂侇喖鐖煎娲箹閻愭彃顬堥梺绋匡工濞尖€愁嚕鐠囨祴妲堥柕蹇婂墲濞呭棝鏌i悩鍙夊鐟滄澘鍟扮划鏄忋亹閹烘挴鎷洪梺纭呭亹閸嬫稒淇婇悾宀€纾奸悹鍥皺婢э妇鈧鍠栭…閿嬩繆閸洖鐐婇柍鍝勫暟閸橆垶姊洪懡銈呅eù婊€绮欏畷婵堚偓锝庡墮閸ㄦ繈鏌i姀鐘冲暈闁抽攱鍨圭槐鎺斺偓锝庡亜椤曟粓鏌熼惂鍝ョМ闁哄本鐩幃鈺佺暦閸パ€鎷伴柣搴㈩問閸犳牠鈥﹂悜钘夋瀬闁瑰墽绮崑鎰版煠绾板崬澧绘俊韫嵆濮婄粯绗熼埀顒€岣胯閻忔瑩姊虹粙鍨槰闁革綇绲介悾鐑藉箣閿曗偓缁犵粯顨ラ悙灞備粧婵顨婂娲捶椤撶偛濡洪梺鎼炲姀閸╂牕岣胯箛娑橀唶闁靛鑵归幏娲煟閻樺厖鑸柛鏂胯嫰閳诲秹骞囬悧鍫㈠幍闂佸憡鍨崐鏍偓姘炬嫹
|
IT闂傚倸鍊搁崐鎼佸磹閹间礁纾归柟闂寸绾剧懓顪冪€n亝鎹i柣顓炴閵嗘帒顫濋敐鍛婵°倗濮烽崑鐐烘偋閻樻眹鈧線寮撮姀鈩冩珖闂侀€炲苯澧板瑙勬礉閵囨劙骞掗幘璺哄箺闂備胶顢婇幓顏嗗緤妤e叝澶嬪緞瀹€鈧Λ顖涖亜閹惧鈽夊ù婊堢畺濮婂宕掑▎鎴М闂佺顕滅换婵嗙暦濠靛鍗抽柣鎰Ф閸犳劗鎹㈠┑瀣<婵☆垰鍢叉禍楣冩煙閻戞ɑ灏电紒鈾€鍋撴繝娈垮枟閿曗晠宕㈡ィ鍐ㄧ煑闁糕剝绋掗埛鎴犵磽娴h偂鎴犵矆閳ь剟姊虹粙鍖″伐婵犫偓闁秴鐒垫い鎺嶈兌閸熸煡鏌熼崙銈嗗
|
闂傚倸鍊搁崐鎼佸磹閹间礁纾瑰瀣捣閻棗霉閿濆浜ら柤鏉挎健濮婃椽顢楅埀顒傜矓閹绢喖纾奸柕濞у嫬鏋戦梺鍝勫暙閻楀棛绮婚弽銊х鐎瑰壊鍠曠花濠氬箚閻斿吋鈷戦梻鍫熶緱濡牓鏌涢悩鎰佹畼缂佽京鍋為幆鏃堝閵忋垻妲囬梻浣圭湽閸ㄨ棄岣胯閻楀酣姊绘担鍝勫付缂傚秴锕︾划濠氬冀瑜滈崵鏇㈡煕濞戞﹫鍔熼柣鐔风秺閺屽秷顧侀柛鎾跺枎椤曪絾绻濆顒€宓嗛梺闈涚箳婵炩偓闁哥偠娉涢埞鎴︽偐閼碱兛绮甸梺鍛婃⒐閻楁粓鎮疯缁辨捇宕掑顑藉亾閻戣姤鍤勯柤鎼佹涧閸ㄦ梹銇勯幘鍗炵仼闂傚偆鍨堕弻銊モ攽閸♀晜笑闂佽棄鍟伴崰鎾诲焵椤掆偓缁犲秹宕曢柆宥嗗亱婵犲﹤鍠氶悗鍫曟煏婵炵偓娅嗛柍閿嬪灴閺屾稑鈽夊鍫熸暰闁诲繐绻嬮崡鎶藉蓟閿濆鍋勯柛娆忣槹閻濇岸姊洪棃娑欘棛缂佲偓娓氣偓閸┿垺鎯旈妸銉ь唺闂佸搫鍟崐鐟邦熆閹寸偟绡€闁汇垽娼ф禒锕傛煕閵娿儳鍩i柟顔惧厴閺佸啴鍩€椤掑嫬鐓濈€广儱顦~鍛存煏閸繃顥戦柟閿嬫そ閺岋綁鎮╅崗鍛板焻闂佸憡鏌ㄩ懟顖炲煝瀹ュ绠涢柣妤€鐗忛崢鐢告⒑閸涘﹤鐏熼柛濠冪墱閳ь剚鐔幏锟�
|
闂傚倸鍊搁崐鎼佸磹閹间礁纾归柟闂寸绾惧綊鏌i幋锝呅撻柛濠傛健閺屻劑寮村Δ鈧禍鎯ь渻閵堝簼绨婚柛鐔告綑閻g柉銇愰幒婵囨櫔闂佸憡渚楅崹浼村极閹间焦鈷掑〒姘e亾闁逞屽墰閸嬫盯鎳熼娑欐珷闁规鍠氱壕濂稿级閸稑濡兼繛鎼枟椤ㄣ儵鎮欑€涙ê纾冲Δ鐘靛仦鐢帡鍩為幋锕€閱囨繝闈涙搐閳ь剦鍨跺铏规嫚閸欏鏀銈庡亜椤︻垳鍙呭┑鈽嗗灣閸樠囧垂濠靛牃鍋撻崗澶婁壕闂佸憡娲﹂崜娆愮婵傚憡鈷戠紓浣姑悘杈ㄤ繆椤愩垹顏柟顔界懄缁绘繈宕堕妸褍甯楅梻浣告啞缁诲倻鈧凹鍓熷鎼佹晜閸撗咃紲闁哄鐗滈崑鍕儍閾忓湱纾奸弶鍫涘妽瀹曞瞼鈧娲樼敮鎺楋綖濠靛鏁勯柦妯侯槷婢规洟姊鸿ぐ鎺擄紵闁绘帪绠撳畷鎴犫偓锝庡枤閸欐捇鏌涢妷锝呭闁抽攱鍔欓弻娑樷枎韫囨洜顔掗梺鍝勭焿缂嶄焦鎱ㄩ埀顒勬煃閹増纭剧紓宥咃躬楠炲棛浠︽潪鎸庢瀹曘劑顢欓幆褍姹查梻鍌欒兌缁垰煤閺嶎厼纾归柛锔诲幐閸嬫挸顫濋悙顒€顏�
|
闂傚倸鍊搁崐鎼佸磹閹间礁纾圭€瑰嫭鍣磋ぐ鎺戠倞鐟滃繘寮抽敃鍌涚厽闁靛繆鎳氶崷顓犵幓婵°倕鎳忛悡娆撴煙濞堝灝鏋涙い锝呫偢閺屾稓鈧絽澧庣弧鈧梺鍝勬湰濞叉ê顕ラ崟顖氶唶婵犻潧妫楅ˉ娆愮節閻㈤潧浠﹂柛銊﹀劶瑜版粓姊虹悰鈥充壕婵炲濮撮鍡涘磹閻㈠憡鐓ユ繝闈涙閺嗘瑥鈹戦敍鍕幋闁哄本绋撻埀顒婄秵閸嬪懎鐣峰畝鈧埀顒冾潐濞叉ḿ鏁敓鐘茬畺婵炲棙鎸搁拑鐔兼煏婢跺牆鍔滈柡鍡╀邯濮婂宕掑▎鎴М闂佸湱鈷堥崑鍕弲闂侀潧艌閺呮稓澹曟繝姘厽闁归偊鍠栭崝瀣煕婵犲倻浠涢柕鍥у楠炴帡宕卞鎯ь棜闂傚倷绀侀悿鍥綖婢舵劕鍨傞柛褎顨呯粻鏍ㄧ箾閸℃ɑ灏柣顓燁殔椤潡鎳滈惉顏呭灴閺佸秵绗熼埀顒€顫忕紒妯诲閻熸瑥瀚禒鈺呮⒑閸涘﹥鐓ラ梺甯到閻i攱瀵奸弶鎴濆敤閻熸粍绮撳畷鐢稿即閻愨晜鏂€闂佺粯锚绾绢參銆傞弻銉︾厸闁告侗鍠楅崐鎰版煛鐏炶濮傞柟顔哄€濆畷鎺戔槈濮楀棔绱�
|
   
专 题 栏 目
 婵犵數濮烽弫鍛婃叏閻戣棄鏋侀柛娑橈攻閸欏繘鏌i幋锝嗩棄闁哄绶氶弻鐔兼⒒鐎靛壊妲紒鎯у⒔缁垳鎹㈠☉銏犵闁绘劕鐏氶崳褏绱撴担绋款暢闁稿鍊濆璇测槈閵忕姈銊︺亜閺冨倸甯舵い顐熸櫇缁辨挻鎷呴幓鎺嶅闂備礁澹婇崑鍡涘窗閹捐泛濮柍褜鍓熷濠氬磼濮樺崬顤€缂備礁顑嗙敮锟犲极瀹ュ绫嶉柛顐ゅ枔閸橀箖姊洪崫鍕垫Ъ婵炲娲樼粋鎺楀閵堝棭姊挎繝銏e煐閸旀牠鎮¢妷锔剧瘈闂傚牊绋掗ˉ鐐烘煕閿濆棙銇濋柟顔肩秺楠炲洭濡搁妷銉㈡嫟闂備線娼уú銈団偓姘嵆瀹曟椽鏁撻悩鑼槰闂侀潧枪閸庤京绮婚敐澶嬧拻濞达絿鐡旈崵鍐煕閻樺磭娲撮柨婵堝仦瀵板嫰骞囬鍌ゅ數闂備礁鎲$粙鎺戓缚濞嗘劕顕遍柣妯肩帛閻撳繐顭块懜寰楊亪鎮橀敐鍥╃<闁逞屽墯缁绘繈宕熼鐙呯闯闂備胶枪閺堫剟鎮疯钘濋柨鏂款潟娴滄粓鏌ㄩ弮鍥跺殭闁诲骏绠撻弻鐔碱敊閻偒浜崺鐐哄箣閻橆偄浜鹃柨婵嗙凹缁ㄤ粙鏌涘▎灞戒壕濠电姷鏁告慨浼村垂婵傜ǹ鏄ラ柡宥庡幖缁€澶愭煛閸モ晛啸濞戞挸绉撮埞鎴︽偐瀹曞浂鏆¢梺绋匡工閻忔氨鎹㈠☉銏犵闁绘垵妫旈惀顏勵渻閵堝懐绠版俊顐n殜钘熸慨妯垮煐閻撴洟鏌熼柇锕€澧柍缁樻礃缁绘盯骞橀幇浣哄悑闂佸搫鏈ú鐔风暦閻撳簶鏀介柛顐犲焺閸炴椽姊虹拠鑼嚬缂佹彃顭峰畷鎴﹀箛椤旂瓔娼熼梺鍦劋椤ㄥ繘寮繝鍥ㄧ厽闁挎繂鎳忓﹢浼存煕閿涘崬鍠氬〒濠氭煏閸繃顥炵紒宀冩硶缁辨挸顓奸崟顓фМ闂佷紮绲块崗姗€鐛崶顒佸亱闁割偅绻€缁ㄥ姊绘担鐟板姢缂佺粯顨婇敐鐐村緞婵犲海鍞甸梺纭呮彧闂勫嫰鍩涢幒鎳ㄥ綊鏁愰崨顔兼殘闂佽鍨伴悧濠勬崲濞戞矮娌柛灞捐壘椤洭鎮楃憴鍕;闁告濞婇悰顔嘉熼懖鈺冿紲濠碘槅鍨靛銊у垝瑜斿缁樻媴閼恒儳銆婇梺闈╃秶缁犳捇鐛箛娑欐櫢闁跨噦鎷�
相 关 文 章

PPLive全程直播第十二届
谷歌北京奥运十二生肖系
秘籍:QQ安全防范新十二
网站设计管理与维护的十
论坛宣传网站的十二大绝
安装防火墙的十二个注意
网络防火墙的十二个注意
金山毒霸2005超级“十二
学习网上赚钱 十二条技巧
管理与维护宽带路由器的

 
十二问让你全面了解跨站脚本攻击           
十二问让你全面了解跨站脚本攻击
作者:陈鹏 文章来源:eNet 点击数:112 更新时间:2009-9-11 23:34:48
 




 

作为网站的业务管理者,在欣赏自己为客户提供的丰富业务和趣味性体验时,你是否曾经想过网站会成为攻击者攻击第三方的媒介,从而导致公信度大为受损?作为一个网站的访客,你是否曾经想过在访问这个自己再熟悉不过的网站时,你的私密信息已经被他人窃取?

这些都与跨站脚本攻击有关。下面让我们详细了解这类攻击。

Q1:什么是跨站脚本?

跨站脚本(Cross-site scripting,简称XSS),是一种迫使Web站点回显可执行代码的攻击技术,而这些可执行代码由攻击者提供、最终为用户浏览器加载。不同于大多数攻击(一般只涉及攻击者和受害者),XSS涉及到三方,即攻击者、客户端与网站。XSS的攻击目标是为了盗取客户端的cookie或者其他网站用于识别客户端身份的敏感信息。获取到合法用户的信息后,攻击者甚至可以假冒最终用户与网站进行交互。

XSS漏洞成因是由于动态网页的Web应用对用户提交请求参数未做充分的检查过滤,允许用户在提交的数据中掺入HTML代码(最主要的是“>”、“<”),然后未加编码地输出到第三方用户的浏览器,这些攻击者恶意提交代码会被受害用户的浏览器解释执行。

Q2:XSS缩写来源?

依照英文缩写习惯,简称跨站脚本为CSS。这样会引起它和另一个名词“层叠样式表”(Cascading Style Sheets,CSS)的混淆。此CSS非彼CSS。为了以示区别,一些安全人士就习惯将跨站脚本简称为XSS。[2]

Q3:XSS存在哪些威胁?

攻击者可以利用XSS漏洞、借助存在漏洞的Web网站攻击其他浏览相关网页的用户,窃取用户浏览会话中诸如用户名和口令(可能包含在cookie里)的敏感信息、通过插入恶意代码对用户执行挂马攻击。XSS漏洞还可能被攻击者用于网页篡改,只是多数情况为了经济利益最大化,攻击者不会直接进行篡改。

Q4:XSS漏洞的普及率有多高?

国际Web应用安全组织WASC(Web Application Security Consortium)最新数据[4]表明,采样分析了10297个网站,其中有31.47%站点存在XSS漏洞,且XSS在发现的漏洞中占到总数的41.41%,高居榜首。

请添加描述


图1. 最为普及的Web应用安全漏洞[4]


Q5:能否列举XSS实例?

2005年,一位叫Samy的MySpace用户自创了一种XSS蠕虫,24小时内,其网络空间朋友数目成功从73上升到1百万。[5]

2006年,PayPal遭到XSS攻击,攻击者将PayPal站点的访问者重定向到一个新的页面,上面警告用户他们的帐号已经不再安全,需要重新设置,并提示输入PayPal的登录信息、用户社保信息及信用卡信息。[6]

2008年5月,eBay承认其PayPal页面存在XSS漏洞,该漏洞会被攻击者用于盗取用户证书或cookie。[7]

Q6:攻击者如何通过XSS攻击偷取cookie?

在此,仅做举例说明,帮助读者理解XSS攻击的思路。本文中的例子来自[1]。

首先,让我们假设:存在一个网站www.vulnerableexample.com。该网站上有一个脚本welcome.cgi,参数设定为name。此脚本会读取HTTP请求的部分,然后未做任何安全性验证,就将请求内容部分或全部回显到响应页面。

通常,如果用户端发送以下请求:

GET /welcome.cgi?name=Sammi HTTP/1.0

Host: www.vulnerableexample.com

服务器将会有如下响应:

Hi Sammi
Welcome!

...

弹出Alert窗口示例

上述机制将如何为攻击者所利用呢?我们先列举一个直观的方法。通常,攻击者会应用社会工程学(Social Engineering)设法诱骗受害者点击由攻击者精心构造的链接,如发送一封标题为“免费听林肯公园北京现场演唱会”的邮件J。

攻击者构造的恶意链接如下:

http://www.vulnerableexample.com/welcome.cgi?name=

受害者一旦点击了恶意链接,会发送如下请求到www.vulnerableexample.site站点:

GET /welcome.cgi?name= HTTP/1.0

Host: www.vulnerableexample.com

...

站点将返回如下响应:

Hi

Welcome!

...

因为服务器端返回的HTML页面包含一段JavaScript代码,受害者浏览器会解释执行。这段代码被执行后,将被允许访问浏览器中属于www.vulnerableexample.com站点的cookie。此时,用户侧浏览器上会弹出一个alert窗口。

网站收集cookie示例

真实的攻击步骤中,这些cookie会被发送给攻击者。攻击者为此会搭建一个网站(我们称为www.attackerexample.com),还会应用一个脚本负责接收盗取的cookie。攻击者会写一段恶意代码,用于实现访问攻击者站点、并能调用接收cookie的脚本。最终,攻击者可以从www.attackerexample.com站点获取到cookie。

构造的恶意链接如下:

http://www.vulnerableexample.com/welcome.cgi?name=

服务器响应内容显示为:

Hi

Welcome!

...

浏览器会加载服务器端返回页面,执行内嵌的JavaScript,并发送一个请求到www.attackerexample.com站点上的collect.cgi脚本,浏览器中保存的www.vulnerableexample.com站点的cookie值也会一起发送过去。攻击者获取到客户在www.vulnerable.site站点的cookie,还可以假冒受害者。

Q7:加密是否能有效防护XSS攻击?

通常大家会认为如果网站使用了HTTPS,提供更有保障的安全,可以幸免于XSS攻击。其实这是一种误解。HTTPS仅提供传输层的安全,在应用层仍然面临XSS的威胁。[2]

Q8:XSS漏洞是否可能引起非法执行命令?

如果浏览器设置安全性不够时,XSS漏洞允许插入JavaScript,也就意味着攻击者可能获取受限的客户端执行权限。如果攻击者进而利用浏览器的漏洞,就有可能在客户端非法执行命令。简言之,XSS漏洞有助于进一步利用浏览器漏洞。[2]

Q9:从网站开发者角度,如何防护XSS攻击?

来自应用安全国际组织OWASP的建议[3],对XSS最佳的防护应该结合以下两种方法:验证所有输入数据,有效检测攻击;对所有输出数据进行适当的编码,以防止任何已成功注入的脚本在浏览器端运行。具体如下:

·输入验证:某个数据被接受为可被显示或存储之前,使用标准输入验证机制,验证所有输入数据的长度、类型、语法以及业务规则。

·强壮的输出编码:数据输出前,确保用户提交的数据已被正确进行entity编码,建议对所有字符进行编码而不仅局限于某个子集。

·明确指定输出的编码方式(如ISO 8859-1或 UTF 8):不要允许攻击者为你的用户选择编码方式。

·注意黑名单验证方式的局限性:仅仅查找或替换一些字符(如"<" ">"或类似"script"的关键字),很容易被XSS变种攻击绕过验证机制。

·警惕规范化错误:验证输入之前,必须进行解码及规范化以符合应用程序当前的内部表示方法。请确定应用程序对同一输入不做两次解码。

Q10:从网站用户角度,如何防护XSS攻击?

当你打开一封Email或附件、浏览论坛帖子时,可能恶意脚本会自动执行,因此,在做这些操作时一定要特别谨慎。建议在浏览器设置中关闭JavaScript。如果使用IE浏览器,将安全级别设置到“高”。具体可以参照浏览器安全的相关文章。[2]

这里需要再次提醒的是,XSS攻击其实伴随着社会工程学的成功应用,需要增强安全意识,只信任值得信任的站点或内容。

Q11:如果修补XSS漏洞对网站来说困难较大,不修补会怎样?

如果不能及时修补XSS漏洞,网站可能成为攻击者攻击第三方的媒介,公信度受损;网站用户成为受害者,敏感信息泄漏。现实中,确实存在某些无法修补漏洞的客观原因,如Web应用开发年代久远或者整改代码需要付出过于高昂的代价。这种情况下, 选择Web安全网关会是一种合理选择。正确应用这类安全工具,会极大缓解XSS攻击,降低安全风险。

Q12:下一代XSS会是怎样的?

随着AJAX(Asynchronous JavaScript and XML,异步JavaScript和XML)技术的普遍应用,XSS的攻击危害将被放大。使用AJAX的最大优点,就是可以不用更新整个页面来维护数据,Web应用可以更迅速地响应用户请求。AJAX会处理来自Web服务器及源自第三方的丰富信息,这对XSS攻击提供了良好的机会。AJAX应用架构会泄漏更多应用的细节,如函数和变量名称、函数参数及返回类型、数据类型及有效范围等。AJAX应用架构还有着较传统架构更多的应用输入,这就增加了可被攻击的点。


文章录入:陈鹏    责任编辑:陈鹏 
  • 上一篇文章:

  • 下一篇文章:
  • 【字体: 】【发表评论】【加入收藏】【告诉好友】【打印此文】【关闭窗口
     
     
     
     
     

    Copyright © 2007 - 2009 chenpeng123.com All Rights Reserved
    本站所有文章,软件等均来自网络收集,不代表本站观点,仅供学习和研究使用。如有侵犯您的版权,请联系我们,本站将立即删除。
    鲁ICP备07014697号
    你是本站第 位访客
    51La