XSS跨站脚本漏洞修复建议- 如何防御CSS CrossSiteScript 跨站脚本攻击
小心XSS跨站脚本漏洞Web的安全问题越来越严重,漏洞总是在不停的出现,而我们以前一直在做的都是打补丁,就这样漏洞、补丁、补丁、漏洞的恶忄生循环着。其实很多的攻击都是可以预防的,只要我们做好前期的工作。
XSS跨站脚本漏洞修复建议
1、假定所有输入都是可疑的,必须对所有输入中的script、iframe等字样进行严格的检查。这里的输入不仅仅是用户可以直接交互的输入接口,也包括HTTP请求中的Cookie中的变量,HTTP请求头部中的变量等。
2、不要仅仅验证数据的类型,还要验证其格式、长度、范围和内容。
3、不要仅仅在客户端做数据的验证与过滤,关键的过滤步骤在服务喘进行。
4、对输出的数据也要检查,数据库里的值有可能会在一个大网站的多处都有输出,即使在输入做了编码等操作,在各处的输出点时也要进行安全检查。
5、在网站发布之前建议测试所有已知的威胁。
XSS跨站脚本漏洞修复
根据最新的统计显示,跨站脚本、信息泄漏和SQL注入这三个安全漏洞是最容易受到攻击的,而跨站脚本攻击XSS又在其中占了一半以上的份额,所以这里我们要谈谈如何做好基本的对付XSS的防御工作,让我们的Web环境更加安全。
XSS又叫CSS(CrossSiteScript),跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意用户的特殊目的。
我们先来了解一下XSS主要的攻击手段:
1、依赖跨站漏洞,需要在被攻击网站的页面种入脚本的手法,包括cookie盗取,通过javascript获取被攻击网站种下的cookie,并发送给攻击者,从cookie中提取密码等隐私,利用cookie亻为造session,发起重放攻击。另外还有包括Ajex信息盗取,通过javascript发起ajex请求,从ajex结果中获取隐私,模拟用户完成多页表单。
2、不依赖跨站漏洞的手法,包括单向HTTP动作,通过img.src等方法发起跨站访问,冒充被攻击者执行特权操作。但是很难拿到服务器的返回值。还包括双向HTTP动作,如果服务器产生一段动态的script,那么可以用script.src的方法发起跨站访问并拿到服务器的返回值。
下面看看具体的防御措施:
1、防堵跨站漏洞,阻止攻击者利用在被攻击网站上发布跨站攻击语句
不可以信任用户提交的任何内容,首先代码里对用户输入的地方和变量都需要仔细检查长度和对”<”,”>”,”;”,”’”等字符做过滤;其次任何内容写到页面之前都必须加以encode,避免不小心把htmltag弄出来。这一个层面做好,至少可以堵住超过一半的XSS攻击。
2、cookie防盗
首先避免直接在cookie中泄露用户隐私,例如email、密码等等。其次通过使cookie和系统ip绑定来降低cookie泄露后的危险。这样攻击者得到的cookie没有实际价值,不可能拿来重放。
3、尽量采用POST而非GET提交表单
POST操作不可能绕开javascript的使用,这会给攻击者增加难度,减少可利用的跨站漏洞。
4、严格检查refer
检查httprefer是否来自预料中的url。这可以阻止第2类攻击手法发起的http请求,也能防止大