占全球70%网络安全攻击的web攻击:XSS攻击是什么?如何防范!
亿林安全2020-11-18 18:13
xss跨站脚本攻击(Cross Site Scripting)缩写为css,因与层叠样式表重名而改为XSS,是一种网络攻击方式。研究表明,目前xss攻击已成最主流的网络web攻击方式,约占全球网络攻击的70%。
XSS简介
Xss攻击通常通过网页开发时留下的漏洞,向有xss漏洞的网站注入恶意的Html脚本恶意指令,在用户浏览网页时,将自动执行注入的脚本从而达到攻击的目的,这些恶意脚本程序通常是Javascript,也包括Java、ActiveX、 VBScript、 Flash、HTML等,攻击成功后,攻击者,可进一步得到更高的权限(如执行一些操作)、攻击者采用Xss攻击,可偷取用户Cookie、密码等重要数据,进而窃取用户财产及情报信息。
近些年来,有很多知名网站遭到过xss攻击,如新浪微博,及以CSDN为代表多个网站用户密码个信息泄露事件。
Xss攻击演示
Xss攻击有有三种类型
1.反射型XSS攻击也叫非持久型攻击
最普遍的xss攻击类型。用户访问服务器-跨站链接-返回跨站代码。主要步骤是:
攻击者构造包含恶意代码的特殊url。
用户打开带有恶意代码的url时,服务端将恶意代码从URL中取出,拼接在html中返回浏览器,之后用户会收到响应后解析执行混入的恶意代码。
恶意代码窃取用户数据发送到攻击者网站,或者冒充用户行为,调用目标网站接口执行攻击者指定操作。
一个比较典型的案例:
新浪微博之前遭到攻击就是因为攻击者发布了一个含有恶意脚本的URL,用户点击该URL,脚本会自动关注攻击者的新浪微博ID,发布含有恶意脚本的URL微博,攻击就被扩散了。
2.存储型XSS攻击也叫持久型跨站攻击
最直接的危害类型,跨站代码存储在服务器(数据库),主要步骤是:
攻击者将恶意代码提交到网站服务器(数据库)中。
用户打开网站时,恶意代码会从数据库中取出,显示在Html中。
用户浏览器收到响应后解析执行混入的恶意代码,恶意代码窃取用户数据并发送到攻击者网站,或者冒充用户行为,调用目标网站接口执行攻击者的指定操作。
这种这攻击方式常用到论坛发帖、商品评价、用户私信等。
3.DOM跨站(DOM XSS)
DOM(document object model文档对象模型),客户端脚本处理逻辑导致的安全问题。主要步骤是:
攻击者构造特殊的URL,包含恶意代码
用户用浏览器打开含有恶意代码的URL,浏览器解析执行后,前端JS取出URL的恶意代码并执行。
恶意代码执行攻击操作发送回攻击者。
基于DOM的XSS漏洞:通过修改用户的网页脚本在修改本地页面DOM环境时未进行合理的处置,而使得攻击脚本被执行。在攻击过程中,服务器的响应页面并无变化,引起客户端脚本执行结果差异的原因就是对本地DOM的恶意篡改利用。
如何防范xss攻击呢?
1.提高程序员的较高编辑能力和安全意识。
2.浏览器主动进行xss识别,如用chrome浏览器就会自动识别xss攻击代码。
3.服务器端对用户输入的内容进行过滤,如将重要的cookie标记为http only,进行数据校验及html encode处理,过滤移除特殊的html标签。< 替代 <, > 替代 >, " 替代 "。
4.过滤JavaScript 事件标签。例如 "onfocus" , "οnclick="等等。
5.可使用web防火墙或网站平台进行xss防御。
目前主流的xss防范防御平台是GoodWaf,不仅可防御xss,对一些主流的其它网络攻击方式也能防御,还有漏扫,态势感知功能等时刻监控网站安全:
举报/反馈
0
0
收藏
分享
