对于xss攻击的简述
XSS是一种Cross-site scripting跨站脚本,它是一种经常在web应用中出现的漏洞,攻击者可以使用该漏洞注入任意恶意代码以实现对靶目标的攻击
xss又名css,其攻击方式大致可分为三种反射型xss,存储型xss,DOM型xss
其中反射型xss具有非持久性的特点另外两种攻击方式具有持久性攻击特点可长期存储在服务器数据库中
xss的危害
1.窃取用户信息
2.钓鱼攻击
3.拒绝服务攻击
4.劫持用户web行为进一步渗透内网
5.刷广告,刷流量,破坏服务器数据
6.其他安全问题
攻击样本(此处使用百度百科所给出的“微博病毒”攻击事件原文链接如下)
【跨站脚本攻击_百度百科】https://minipro.baidu.com/ma/qrcode/parser?app_key=AZQtr4jkpf90T3X9QMWVLF1bkeV4LXxD&launchid=41f035c0-e8d7-4982-90ac-1fe9912fe0dd&path=%2Fpages%2Flemma%2Flemma%3FlemmaTitle%3D%25E8%25B7%25A8%25E7%25AB%2599%25E8%2584%259A%25E6%259C%25AC%25E6%2594%25BB%25E5%2587%25BB%26lemmaId%3D8186208%26from%3DbottomBarShare%26_swebFromHost%3Dbaiduboxapp
2011年6月28日晚,新浪微博出现了一次比较大的XSS攻击事件。大量用户自动发送诸如:“郭美美事件的一些未注意到的细节”,“建党大业中穿帮的地方”,“让女人心动的100句诗歌”,“3D肉团团高清普通话版种子”,“这是传说中的神仙眷侣啊”,“惊爆!范冰冰艳照真流出了”等等微博和私信,并自动关注一位名为hellosamy的用户。
事件的经过线索如下:
20:14,开始有大量带V的认证用户中招转发蠕虫
20:30,某网站中的病毒页面无法访问
20:32,新浪微博中hellosamy用户无法访问
21:02,新浪漏洞修补完毕
下一代攻击方式
随着web数据交互方式的普遍应用,其攻击危害将被放大,在优化数据交互的同时使用web交互方式不更新整个页面来维护数据的特点,窃取如函数变量名称等信息,因为其有较传统的应用输入增加了可被攻击的点。
下面简单概述预防措施
输入验证
输出编码
明确指出编码方式
相关防护措施,参考(【xss的防护措施有哪些https://mbd.baidu.com/ma/s/rJsaxG5X)
1、不要在允许位置插入不可信数据。
2、在向HTML元素内容插入不可信数据前对HTML解码。
3、在向HTML常见属性插入不可信数据前进行属性解码。
4、在向HTML JavaScript Data Values插入不可信数据前,进行JavaScript解码。
5、在向HTML 样式属性值插入不可信数据前,进行CSS解码。
6、在向HTML URL属性插入不可信数据前,进行URL解码