XSS 攻击在它的面前都弱爆了!

原创 2015年11月19日 10:25:02

虽然双十一刚刚过去不久,但是对很多工程师来说,连续熬夜加班的「噩梦」似乎还没有过去。尤其是像双十一这种活动,对于电商网站的工程师们来说,他们需要彻夜的加班加点来保障网站的稳定性和安全性。当然,面对上千亿的销售额,更是让所有的电商平台工程师们,对安全问题不敢有任何一丝丝的怠慢。

XSS:成为网站安全的「头号」大敌

跨站脚本攻击(XSS)是客户端脚本安全中的头号大敌,曾多次位于 OWASP TOP 10 威胁的榜首。安全研究人员在大部分最受欢迎的网站,包括 Google、Facebook、 Amazon、 PayPal 等,都发现这个漏洞的存在。这些漏洞的存在,让黑客可以通过「HTML注入」篡改网页,从而插入恶意的脚本,在用户浏览网页时,控制用户浏览器。

XSS 攻击在它的面前都弱爆了!

举个例子,可以让大家从攻击的角度体验一下 XSS 的威力。通过 XSS 攻击成功后,攻击者能够在你的浏览器中植入恶意的脚本,如 JavaScript、Flash 等。这类脚本往往可以读取浏览器的 Cookie 对象,从而发起「Cookie劫持」攻击。说的直白点,如果你的 Cookie 中保存过一些登陆凭证,攻击者就可以不通过密码,直接进入你的用户。

除了刚刚举例的「Cookie劫持」外,XSS 漏洞还常被用于发动恶意软件传播(蠕虫攻击),会话劫持、恶意重定向等。它破坏力强大,且产生的情景复杂,很难快速修补。所以,如何快速的防御各类 XSS 攻击,是一个亟需解决的问题。

RASP 为网站安全「保驾护航」

RASP(Runtime application self-protection)是一种新型应用安全保护技术,它将保护程序想疫苗一样注入到应用程序和应用程序融为一体,能实时检测和阻断安全攻击,使应用程序具备自我保护能力,当应用程序遇到特定漏洞和攻击时不需要人工干预就可以进行自动重新配置应对新的攻击。

RASP 的工作原理如下图所示,这种安全策略在可疑行为进入应用程序时并不拦截,而是先对其进行标记,在输出时再检查是否为危险行为,所以能够大大减少误报和漏报的概率。

XSS 攻击在它的面前都弱爆了!

RASP 也是目前业界已知的对 SQL 注入防护最高的一种手段,而且识别率非常高,它能够有效地解决电商网站的数据安全和泄露问题。

比如像 XSS 这种攻击,在RASP面前就不值一提。RASP 定制了针对 XSS 攻击的规则集和防护类,然后采用 Java 字节码技术,在被保护的类被加载进虚拟机之前,根据规则对被保护的类进行修改,将防护类织入到到被保护的类中。所以在RASP能够非常有效地抵御 XSS 这种攻击。

OneRASP(实时应用自我保护)是一种基于云的应用程序自我保护服务, 可以为软件产品提供实时保护,使其免受漏洞所累。

版权声明:本文为博主原创文章,未经博主允许不得转载。

XSS攻击及防御

XSS又称CSS,全称Cross SiteScript,跨站脚本攻击,是Web程序中常见的漏洞,XSS属于被动式的攻击方式,所以容易被忽略其危害性。其原理是攻击者向有XSS漏洞的网站中输入(传入)恶意...
  • ghsau
  • ghsau
  • 2013年11月29日 18:35
  • 147032

怎样进行Xss攻击

一直对xss的理解比较薄弱,今天蛋疼的来整理一下。主要来源于心伤的瘦子大神的教程。...
  • wangyi_lin
  • wangyi_lin
  • 2013年11月14日 16:09
  • 11659

前端攻防篇-XSS攻击及防御

本文来自:高爽|Coder,原文地址:http://blog.csdn.net/ghsau/article/details/17027893,转载请注明。        XSS又称CSS,全称Cros...
  • u013853928
  • u013853928
  • 2016年11月09日 10:39
  • 833

XSS跨站脚本攻击过程最简单演示

实例演示XSS的攻击全过程。
  • smstong
  • smstong
  • 2015年02月06日 13:20
  • 55079

安全测试之XSS攻击

XSS (跨站脚本攻击)是什么?它的全名是:Cross-site scripting,为了和CSS层叠样式表区分所以取名XSS。是一种网站应用程序的安全漏洞攻击,是代码注入的一种。它允许恶意用户将代码...
  • zzzmmmkkk
  • zzzmmmkkk
  • 2014年05月01日 15:52
  • 3324

什么XSS攻击?PHP防止XSS攻击函数

XSS 全称为 Cross Site Scripting,用户在表单中有意或无意输入一些恶意字符,从而破坏页面的表现! 看看常见的恶意字符XSS 输入: 1.XSS 输入通常包含 Java...
  • zwfcan
  • zwfcan
  • 2013年12月13日 13:04
  • 2771

浅析XSS和CSRF攻击及防御

XSS攻击CSRF攻击XSS和CSRF的关系XSS防御CSRF防御总结以上介绍的攻击和防御方法都是一些基本的情况,所介绍的防御机制并不能保证绝对安全,但是应该可以防御一般的攻击情况了,我们做了这些处理...
  • koastal
  • koastal
  • 2016年10月23日 22:41
  • 1602

Xss攻击事件详解

XSS跨站脚本攻击 一 : 定义      攻击者利用网站程序对用户输入过滤不足,输入可以显示在页面上对其他用户造成影响的HTML代码。从而盗取用户资料,利用用户身份进行某种动作,或者对访问者进行...
  • worn_xiao
  • worn_xiao
  • 2016年08月27日 09:38
  • 1000

xss攻击原理与解决方法

概述XSS攻击是Web攻击中最常见的攻击方法之一,它是通过对网页注入可执行代码且成功地被浏览器执行,达到攻击的目的,形成了一次有效XSS攻击,一旦攻击成功,它可以获取用户的联系人列表,然后向联系人发送...
  • qq_21956483
  • qq_21956483
  • 2017年01月12日 14:51
  • 3494

网络攻防实验-XSS攻击-基于Elgg-Task1-4

网络攻防实验报告                                                                                       ——XSS...
  • Code_Thinking
  • Code_Thinking
  • 2015年06月06日 21:35
  • 2757
内容举报
返回顶部
收藏助手
不良信息举报
您举报文章:XSS 攻击在它的面前都弱爆了!
举报原因:
原因补充:

(最多只允许输入30个字)