跨站漏洞

跨站漏洞

 

跨站漏洞是由于程序员在编写程序时对用户提交的数据没有做充分的合规性判断和进行HTML编码处理，直接把数据输出到浏览器客户端，这样导致用户可以提交一些特意构造的脚本代码或HTML标签代码，并在输出到浏览器时被执行。黑客利用跨站漏洞输入恶意的脚本代码，当恶意的代码被执行后就形成了所谓的 跨站攻击。一般来说对于人机交互比较高的程序，比如论坛，留言板这类程序都比较容易进行跨站攻击。

利用跨站漏洞黑客可以在网站中插入任意代码，这些代码的功能包括获取网站管理员或普通用户的cookie，隐蔽运行 网页木马，甚至格式化浏览者的硬盘，只要脚本代码能够实现的功能，跨站攻击都能够达到，因此跨站攻击的危害程度丝毫不亚于 溢出攻击。

中文名

跨站漏洞

外文名

XSS

结    果

在网站中插入任意代码

原    因

没有做充分的过滤

特    点

带有像JavaScript等这类脚本代码

防范跨站攻击

跨站攻击相对于其他 网络攻击而言显得更隐蔽，也更难防范。很多时候问题并不出在用户身上，而是由于网站的问题，即使我们装了防火墙，也对跨站攻击无能为力，因此防范跨站攻击我们得从两方面入手，即网站方面和个人用户方面：

过滤特殊字符

1. 过滤特殊字符在网站程序处过滤特殊字符，这是防范 跨站脚本攻击最为有效和彻底的方法。在不影响网站程序正常运行的前提下，我们可以在网站程序的 表单输入处过滤掉“javascript”、“<script>”、“#”、“&”等字符，这样就可以防范大部分的 跨站攻击。

限制输入字符长度

2.限制输入字符的长度对于一些可以进行 跨站攻击的 表单对象中，我们可以限制其输入字符的长度。跨站脚本代码往往较长，如果限制了输入字符长度，也可以起到很好的防范作用。这个功能可以在数据库中设置，也可以编写一段程序代码来实现。

限制用户上传flash文件

3.限制用户上传flash文件使用flash文件进行 跨站攻击可谓防不胜防，如果不能检测用户上传的flash文件的安全性，索性限制用户上传flash文件，以彻底阻断flash跨站攻击的途径。

提高IE浏览器安全等级

4.提高IE浏览器的安全等级个人用户防范 跨站攻击有一定的难度，但仍可以通过设置来降低被攻击的概率。运行IE浏览器，选择“工具”菜单→“Internet 选项”，切换到“安全”标签，将安全级别设置为高，同时可以在“自定义”中进行详细的设置，将一些不需要运行的脚本禁用。但是这样设置后会造成一些正常的页面无法打开，如何取舍就看各位了。

增强安全意识

5.增强安全意识和防范措施安装杀毒软件是必须的，碰到那些插入 网页木马的跨站攻击，即使跨站成功，我们运行了网页木马，杀毒软件仍能在最后一步将木马拦截下来。

不要点击陌生链接

此外，用户需要“收敛”对那些具有诱惑力链接的好奇心，同时“吝啬”自己的鼠标点击，不轻易点击陌生链接。在不同的地方使用不同的密码，即使黑客通过 跨站攻击获取了你的cookie，并破解出了你的密码原文，这样你损失的也只是一个账户而已，不至于全军覆没。