日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

RELATEED CONSULTING
相關(guān)咨詢(xún)
選擇下列產(chǎn)品馬上在線(xiàn)溝通
服務(wù)時(shí)間:8:30-17:00
你可能遇到了下面的問(wèn)題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營(yíng)銷(xiāo)解決方案
跨站腳本攻擊:如何防止XSS漏洞?

XSS攻擊可用于獲得對(duì)特權(quán)信息的訪(fǎng)問(wèn),本文講的就是應(yīng)對(duì)它們的方法。美國(guó)國(guó)土安全部(Department of Homeland Security)目前向聯(lián)邦機(jī)構(gòu)發(fā)出警告,要警惕一種特別具有攻擊性的網(wǎng)絡(luò)攻擊形式——跨站腳本攻擊(XSS)。

創(chuàng)新互聯(lián)專(zhuān)業(yè)為企業(yè)提供邵原網(wǎng)站建設(shè)、邵原做網(wǎng)站、邵原網(wǎng)站設(shè)計(jì)、邵原網(wǎng)站制作等企業(yè)網(wǎng)站建設(shè)、網(wǎng)頁(yè)設(shè)計(jì)與制作、邵原企業(yè)網(wǎng)站模板建站服務(wù),10年邵原做網(wǎng)站經(jīng)驗(yàn),不只是建網(wǎng)站,更提供有價(jià)值的思路和整體網(wǎng)絡(luò)服務(wù)。

[[358908]]

美國(guó)國(guó)土安全部警告說(shuō):

“這種攻擊允許攻擊者冒充受害者進(jìn)入網(wǎng)站,這些漏洞可能會(huì)允許攻擊者不僅竊取cookie,還可以記錄鍵盤(pán)敲擊、捕捉屏幕截圖、發(fā)現(xiàn)和收集網(wǎng)絡(luò)信息,以及遠(yuǎn)程訪(fǎng)問(wèn)和控制受害者的設(shè)備?!?/td>

Barracuda Networks高級(jí)安全研究員喬納森?坦納(Jonathan Tanner)表示:

“考慮到其數(shù)字資產(chǎn)的高價(jià)值,聯(lián)邦機(jī)構(gòu)的風(fēng)險(xiǎn)可能尤其大。有了聯(lián)邦機(jī)構(gòu),就可以訪(fǎng)問(wèn)特權(quán)信息和特權(quán)基礎(chǔ)設(shè)施,這對(duì)攻擊者來(lái)說(shuō)是非常有利可圖的。無(wú)論是攻擊投票系統(tǒng),還是只是擾亂政府事務(wù),這些都可能是非常強(qiáng)烈的攻擊動(dòng)機(jī)?!?/td>

什么是跨站腳本攻擊?

跨站腳本攻擊包括惡意參與者通過(guò)網(wǎng)站插入秘密代碼來(lái)針對(duì)受害者,CrowdStrike情報(bào)部門(mén)高級(jí)副總裁亞當(dāng)?邁耶斯(Adam Meyers)表示:“這種攻擊有幾種方式,但基本上攻擊者會(huì)向網(wǎng)站數(shù)據(jù)庫(kù)注入惡意腳本,讓瀏覽該網(wǎng)站瀏覽器的用戶(hù)執(zhí)行該腳本?!?/p>

作為一種客戶(hù)端代碼注入攻擊,XSS允許攻擊者通過(guò)受害者的web瀏覽器執(zhí)行惡意操作。政府機(jī)構(gòu)的web頁(yè)面或web應(yīng)用程序本質(zhì)上成為了傳播惡意腳本的工具。當(dāng)受害者訪(fǎng)問(wèn)web頁(yè)面或web應(yīng)用程序時(shí),代碼就會(huì)被執(zhí)行。

跨站腳本攻擊是如何發(fā)生的?

盡管存在幾種形式的XSS攻擊,但所有攻擊的結(jié)果本質(zhì)上都是一樣的:在用戶(hù)的瀏覽器中執(zhí)行惡意代碼。

通常,當(dāng)用戶(hù)與web應(yīng)用程序或網(wǎng)站交互時(shí),數(shù)據(jù)會(huì)在客戶(hù)端和網(wǎng)站或應(yīng)用程序前端之間來(lái)回發(fā)送。其中可能大多是無(wú)害的數(shù)據(jù),可隨意瀏覽,或者應(yīng)用程序中可能有某些頁(yè)面或輸入從用戶(hù)那里收集數(shù)據(jù)。

XSS利用這些輸入插入其惡意指令,就拿一個(gè)簡(jiǎn)單的博客或論壇來(lái)說(shuō)吧。一般來(lái)說(shuō),作者會(huì)在網(wǎng)站上發(fā)布一篇博文,其他用戶(hù)可以對(duì)其進(jìn)行評(píng)論。這些評(píng)論是通過(guò)一個(gè)帶有提交按鈕的自由格式的文本框收集的。

在后臺(tái),應(yīng)用程序正在從這些輸入字段中收集數(shù)據(jù):姓名、電子郵件地址、評(píng)論。那是什么阻止人們?cè)谖谋究蛑蟹湃肫渌麞|西并傳播回web應(yīng)用程序?可能什么都沒(méi)有。在這種情況下,可以利用站點(diǎn)本身來(lái)執(zhí)行跨站腳本攻擊。

什么是Cookie竊取?

Cookie竊取是跨站腳本攻擊工具庫(kù)中的一種工具,它利用存儲(chǔ)在用戶(hù)Web瀏覽器緩存中的信息來(lái)識(shí)別特定連接或會(huì)話(huà)中的用戶(hù)。

如果攻擊者可以竊取用戶(hù)的cookie,那么攻擊者就可以冒充終端用戶(hù),在XSS漏洞中,如果攻擊者可以竊取用戶(hù)的cookie,就可以變成用戶(hù)或者冒充用戶(hù)。攻擊者可以更改用戶(hù)的密碼、更改用戶(hù)的備份郵箱,從而接管整個(gè)賬戶(hù)。

這樣的攻擊可能允許惡意攻擊者獲取秘鑰來(lái)竊取用戶(hù)名和密碼。如果該用戶(hù)擁有政府網(wǎng)絡(luò)的管理證書(shū),潛在的危害可能呈指數(shù)級(jí)上升。

XSS攻擊與跨站請(qǐng)求偽造攻擊的區(qū)別?

跨站請(qǐng)求偽造攻擊是XSS方法的變體,它迫使終端用戶(hù)執(zhí)行不希望的操作。例如,攻擊者可能誘騙web應(yīng)用程序的用戶(hù)更改電子郵件地址或轉(zhuǎn)移資金。

使用XSS,它攻擊用戶(hù),改變頁(yè)面顯示內(nèi)容或頁(yè)面在瀏覽器中的呈現(xiàn)方式,準(zhǔn)確的說(shuō),它利用了用戶(hù)對(duì)網(wǎng)站的信任。

在跨站請(qǐng)求偽造中,它偽裝成是用戶(hù),以利用web服務(wù)器對(duì)用戶(hù)的信任。如果用戶(hù)對(duì)web頁(yè)面進(jìn)行身份驗(yàn)證,服務(wù)器就知道你已登錄。然后,攻擊者使用該令牌代表用戶(hù)發(fā)出請(qǐng)求,通常是在他們不知情的情況下,他們可以更改用戶(hù)可能更改的任何內(nèi)容。

如何檢測(cè)跨站腳本攻擊

眾所周知,XSS攻擊很難被檢測(cè)到,因?yàn)闉g覽器無(wú)法區(qū)分合法和非法行為。

只有在受到攻擊后,研究人員蔡可以對(duì)代碼進(jìn)行漏洞掃描,以確保沒(méi)有遺漏任何東西。目前有許多免費(fèi)和付費(fèi)資源可以執(zhí)行此操作,以尋找這些特定類(lèi)型的攻擊或可能容易受到此類(lèi)攻擊的領(lǐng)域。

Web應(yīng)用程序過(guò)濾工具也提供了一些保護(hù),當(dāng)服務(wù)器檢測(cè)到攻擊的有效載荷時(shí),就是檢測(cè)正在進(jìn)行中的攻擊的良好機(jī)制。Web應(yīng)用程序過(guò)濾器將尋找具有特定上下文的請(qǐng)求,這些請(qǐng)求反映了XSS攻擊。這可以歸結(jié)為異常檢測(cè),研究人員也可以通過(guò)一個(gè)集成了檢測(cè)威脅的日志產(chǎn)品來(lái)實(shí)現(xiàn)。

不過(guò),專(zhuān)家表示,總體而言,防御XSS攻擊的最佳方法是預(yù)防而不是檢測(cè)。

跨站腳本預(yù)防技巧

確保你的瀏覽器已打補(bǔ)丁,確保你在完成所做的工作后退出站點(diǎn)。這確保了cookie不再有效,請(qǐng)謹(jǐn)慎考慮您訪(fǎng)問(wèn)的網(wǎng)站。另一個(gè)好的策略是使用多個(gè)瀏覽器:將一個(gè)用于受信任的站點(diǎn),將另一個(gè)用于不受信任的站點(diǎn)。

從較高的層次上來(lái)說(shuō),可以考慮其開(kāi)發(fā)流程,構(gòu)建安全措施來(lái)保護(hù)應(yīng)用程序和網(wǎng)站免受此類(lèi)攻擊。XSS很容易被預(yù)防,但是如果沒(méi)有安全原則作為開(kāi)發(fā)設(shè)計(jì)的基礎(chǔ),那么事后使用安全保護(hù)措施時(shí),它就會(huì)被忽略。

最簡(jiǎn)單的方法是安裝過(guò)濾器,當(dāng)用戶(hù)添加輸入時(shí),使其合理,比如電話(huà)號(hào)碼應(yīng)該是電話(huà)號(hào)碼,日期應(yīng)該是日期,而不是一段Java腳本。請(qǐng)確保如果你的應(yīng)用程序要求輸入名字,那么該名字就不應(yīng)是活動(dòng)內(nèi)容,并在將其顯示給用戶(hù)之前對(duì)其進(jìn)行編碼。這樣,攻擊者就無(wú)法利用純文本發(fā)起攻擊了。不過(guò)這么高級(jí)的方法在很大程度上取決于開(kāi)發(fā)人員的技能水平。

本文翻譯自:

https://fedtechmagazine.com/article/2020/10/cross-site-scripting-attacks-how-prevent-xss-vulnerabilities-perfcon

 


名稱(chēng)欄目:跨站腳本攻擊:如何防止XSS漏洞?
分享網(wǎng)址:http://m.5511xx.com/article/djpcsce.html