日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

RELATEED CONSULTING
相關咨詢
選擇下列產(chǎn)品馬上在線溝通
服務時間:8:30-17:00
你可能遇到了下面的問題
關閉右側工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案
跨站腳本攻擊XSS挑戰(zhàn)Web安全

以下的文章主要向大家介紹的是跨站腳本攻擊XSS“瘋狂”挑戰(zhàn)Web安全,當前,跨站腳本攻擊XSS已經(jīng)成為Web安全界的公害,對于企業(yè)用戶而言,對于XSS的防御需對其右更新的思路,并且要進一步提高認識。

為永嘉等地區(qū)用戶提供了全套網(wǎng)頁設計制作服務,及永嘉網(wǎng)站建設行業(yè)解決方案。主營業(yè)務為成都網(wǎng)站建設、做網(wǎng)站、永嘉網(wǎng)站設計,以傳統(tǒng)方式定制建設網(wǎng)站,并提供域名空間備案等一條龍服務,秉承以專業(yè)、用心的態(tài)度為用戶提供真誠的服務。我們深信只要達到每一位用戶的要求,就會得到認可,從而選擇與我們長期合作。這樣,我們也可以走得更遠!

當前,跨站腳本攻擊XSS已經(jīng)成為Web安全界的公害,對于企業(yè)用戶而言,對于XSS的防御需要新的思路,并且要進一步提高認識。

 

瘋狂的攻擊

2008注定是不平凡的一年,在網(wǎng)絡安全界也是一樣。2008年初,SQL群注事件使得SQL注入重新成為網(wǎng)絡安全界的一個關注焦點,機械化的注入工具出現(xiàn),數(shù)以十萬計的網(wǎng)站在數(shù)天內(nèi)被攻擊。SQL群注風暴硝煙未散,跨站腳本攻擊XSS又提馬殺到:6月25日,來自Darkreading.com的消息,Yahoo Mail中存在XSS漏洞,同一天來自Theregister.com的消息,安全網(wǎng)站xssed.com聲稱,英國匯豐銀行的多個網(wǎng)站上都存在跨站腳本漏洞,攻擊者可以藉由這些跨站腳本漏洞,將訪問這些合法銀行網(wǎng)站的用戶欺騙到其精心構建的網(wǎng)絡釣魚網(wǎng)站上,從而獲取用戶敏感的銀行賬戶和密碼信息。由于匯豐銀行在修補網(wǎng)站漏洞方面動作緩慢,因此這些網(wǎng)站上存在的漏洞將在較長的時間內(nèi)對網(wǎng)站用戶的安全造成較大威脅。

XSS是一種經(jīng)常出現(xiàn)在Web應用中的計算機安全漏洞,它允許惡意Web用戶將代碼植入到提供給其它用戶使用的頁面中,比如HTML代碼和客戶端腳本。攻擊者利用XSS漏洞旁路掉訪問控制——例如同源策略(Same Origin Policy)。這種類型的漏洞由于被駭客用來編寫危害性更大的釣魚攻擊而變得廣為人知。

對于XSS攻擊,記者曾經(jīng)走訪了啟明星辰總工程師萬卿,他的看法是:XSS是新型的“緩沖區(qū)溢出攻擊”,而JavaScript是新型的“ShellCode”。

XSS攻擊和前段時間甚囂塵上的SQL注入攻擊一樣,都是由于Web業(yè)務的代碼編寫人員不嚴謹?shù)淖址拗贫鴮е碌?。當某個站點允許用戶提交Java Script腳本(這在Web2.0年代非常普遍),而又沒有對這些腳本進行嚴格分析,就有可能存在XSS漏洞。換句話說,就決定了XSS漏洞的獨特性:任何允許提交腳本的頁面都可能存在XSS漏洞,而且這些漏洞可能各不相同。

防御XSS

據(jù)萬卿介紹,目前業(yè)內(nèi)對XSS漏洞的防御一般有兩種方式。第一種方式就是代碼修改,對用戶所有提交內(nèi)容進行驗證,包括URL、查詢關鍵字、HTTP頭、POST數(shù)據(jù)等,僅接受指定長度范圍內(nèi)、采用適當格式、采用所預期的字符的內(nèi)容提交,對其它的一律過濾。

接下來就是實現(xiàn)Session標記(Session Tokens)、CAPTCHA系統(tǒng)或者HTTP引用頭檢查,以防功能被第三方網(wǎng)站所執(zhí)行。最后一步就是確認接收的的內(nèi)容被妥善的規(guī)范化,僅包含最小的、安全的Tag(沒有Javascript),去掉任何對遠程內(nèi)容的引用(尤其是樣式表和Javascript),使用HTTP的Cookie。

但要指出的是,這種方法將降低Web業(yè)務的交互能力,用戶僅能提交少量指定的字符,不適應那些交互性要求較高的業(yè)務系統(tǒng)。而且Web業(yè)務的編碼人員很少有受過正規(guī)的安全培訓,即便是專業(yè)的安全公司,由于側重點的不同,也很難完全避免XSS:2008年1月,xssed.com的一份報告指出McAfee、Symantec、VeriSign這三家安全公司的官方站點存在約30個XSS漏洞。

第二種方式就是部署專業(yè)的防御設備,目前較為流行的有入侵防御產(chǎn)品,利用的就是入侵防御產(chǎn)品對應用層攻擊的檢測防御能力。用戶在選擇相應的產(chǎn)品之前,最好先了解一下相關產(chǎn)品的XSS、SQL注入等Web威脅的檢測方式,有一些入侵防御產(chǎn)品采用的還是傳統(tǒng)的特征匹配方法,如對經(jīng)典的XSS攻擊----IMG SRC="javascript:alert('XSS');"----來說,就是定義“Javascript”這個關鍵字進行檢索,一旦發(fā)現(xiàn)提交信息中包含“Javascript”,就認定為XSS攻擊。

這種模式匹配的方法缺點顯而易見:通過編碼或插入TAB鍵方式可以輕易躲避,而且還存在極大的誤報可能,如"http://www.xxx.com/javascript/kkk.asp?id=2345"這樣一個URL,由于包含了關鍵字“Javascript”,也將會觸發(fā)報警。

對此萬卿表示,比較好的方式是選擇那些基于攻擊手法或者說基于攻擊原理檢測的入侵防御產(chǎn)品。比如沒有采用傳統(tǒng)的特征匹配方式,而是采用了行為特征分析方式,通過分析XSS所有可能的攻擊手法,建立一個XSS攻擊行為庫來分析判斷XSS攻擊。采用了這種方法的入侵防御產(chǎn)品可以避免傳統(tǒng)安全產(chǎn)品在XSS攻擊檢測上的漏報和誤報,實現(xiàn)精確阻斷,為面臨XSS威脅的廣大網(wǎng)絡管理員提供一個很好的選擇。以上的相關內(nèi)容就是對跨站腳本攻擊XSS挑戰(zhàn)Web安全很瘋狂的介紹,望你能有所收獲。

【編輯推薦】

  1. 談跨站腳本攻擊與防御的正確應用
  2. 對跨站腳本攻擊的全面了解
  3. 老話重提:防范跨站腳本攻擊
  4. 全面解析跨站腳本攻擊
  5. 使用工具和測試防范跨站點腳本攻擊

本文題目:跨站腳本攻擊XSS挑戰(zhàn)Web安全
文章網(wǎng)址:http://m.5511xx.com/article/dpdeedd.html