跨站指令碼攻擊(Cross-site scripting,通常簡稱為XSS)阿里雲防護
漏洞描述:
跨站指令碼攻擊(Cross-site scripting,通常簡稱為XSS)發生在客戶端,可被用於進行竊取隱私、釣魚欺騙、偷取密碼、傳播惡意程式碼等攻擊行為。 惡意的攻擊者將對客戶端有危害的程式碼放到伺服器上作為一個網頁內容, 使得其他網站使用者在觀看此網頁時,這些程式碼注入到了使用者的瀏覽器中執行,使使用者受到攻擊。一般而言,利用跨站指令碼攻擊,攻擊者可竊會話COOKIE從而竊取網站使用者的隱私,包括密碼。XSS攻擊使用到的技術主要為HTML和Javascript,也包括VBScript和ActionScript等。XSS攻擊對WEB伺服器雖無直接危害,但是它藉助網站進行傳播,使網站的使用使用者受到攻擊,導致網站使用者帳號被竊取,從而對網站也產生了較嚴重的危害。
漏洞危害:
1、釣魚欺騙:最典型的就是利用目標網站的反射型跨站指令碼漏洞將目標網站重定向到釣魚網站,或者注入釣魚JavaScript以監控目標網站的表單輸入,甚至發起基於DHTML更高階的釣魚攻擊方式。
2、網站掛馬:跨站時利用IFrame嵌入隱藏的惡意網站或者將被攻擊者定向到惡意網站上,或者彈出惡意網站視窗等方式都可以進行掛馬攻擊。
3、身份盜用:Cookie是使用者對於特定網站的身份驗證標誌,XSS可以盜取到使用者的Cookie,從而利用該Cookie盜取使用者對該網站的操作許可權。如果一個網站管理員使用者Cookie被竊取,將會對網站引發巨大的危害。
4、盜取網站使用者資訊:當能夠竊取到使用者Cookie從而獲取到使用者身份使,攻擊者可以獲取到使用者對網站的操作許可權,從而檢視使用者隱私資訊。
5、垃圾資訊傳送:比如在SNS社群中,利用XSS漏洞借用被攻擊者的身份傳送大量的垃圾資訊給特定的目標群。
6、劫持使用者Web行為:一些高階的XSS攻擊甚至可以劫持使用者的Web行為,監視使用者的瀏覽歷史,傳送與接收的資料等等。
7、XSS蠕蟲:XSS 蠕蟲可以用來打廣告、刷流量、掛馬、惡作劇、破壞網上資料、實施DDoS攻擊等。
修復方案:
方案二:
避免XSS的方法之一主要是將使用者所提供的內容輸入輸出進行過濾 ,可以利用下面這些函式對出現xss漏洞的引數進行過濾
-
PHP的htmlentities()或是htmlspecialchars()。
-
Python的cgi.escape()。
-
ASP的Server.HTMLEncode()。
-
ASP.NET的Server.HtmlEncode()或功能更強的Microsoft Anti-Cross Site Scripting Library
-
Java的xssprotect(Open Source Library)。
-
Node.js的node-validator。
方案三:
使用開源的漏洞修復外掛。( 需要站長懂得程式設計並且能夠修改伺服器程式碼 )