跨站点脚本攻击
跨站脚本(XSS)
IBM分析师Nikita Gupta
抽象
当浏览器将用户输入呈现为脚本时,就会发生跨站点脚本(XSS)。 任何未经验证接受用户输入的网站都容易受到XSS攻击。 如果输入内容包含恶意代码,则恶意软件可以诱使目标浏览器执行其指示的任何操作,包括显示恶意内容或盗窃受害人的凭据或个人信息。 此外,通过窃取登录信息,XSS攻击者可以访问组织服务器上的受限数据或非法获得对内容的免费访问权。 这些漏洞可能会对公司的品牌和底线产生负面影响。
一些XSS攻击是:
已存储 :恶意脚本存储在服务器上,并感染任何访问者。
反映 :该脚本包含在一个看起来无害的URL中,通过电子邮件发送或作为搜索结果或错误消息发送给受害者。 单击链接后,浏览器将执行脚本。
基于DOM :攻击根本不会访问服务器。 相反,当通过客户端代码(例如JavaScript)注入受害者脚本时,恶意软件脚本会修改受害者的文档对象模型(DOM)。
最近的研究表明,由于努力发现和修补漏洞,XSS攻击活动在2011年至2014年之间有所下降。 但是,组织不应自满。 White Hat Security仍然估计,任何给定站点都有47.9%的可能性容易受到XSS攻击。 跨站点脚本编写仍然是攻击者最喜欢的目标,他们可以在发现漏洞的地方Swift利用它们。 为了保护组织的网络免受XSS攻击,管理员可以执行以下操作:
- 清理或验证输入
- 进行彻底的代码审查,以确定可能的漏洞
- 禁用HTTP跟踪,这可使攻击者窃取Cookie数据
用户也可以通过在单击网站,电子邮件或消息中的链接时格外小心来帮助避免违规。 如有疑问,请直接输入URL。
下载此威胁警报。
翻译自: https://www.ibm.com/developerworks/security/library/se-xss-explained/index.html
跨站点脚本攻击