傳統防禦技術
2.1.1基於特征的防禦
傳統XSS防禦多采用特征匹配方式,在所有提交的信息中都進行匹配檢查。對於這種類型的XSS攻擊,采用的模式匹配方法壹般會需要對“javascript”這個關鍵字進行檢索,壹旦發現提交信息中包含“javascript”,就認定為XSS攻擊。
2.1.2 基於代碼修改的防禦
和SQL註入防禦壹樣,XSS攻擊也是利用了Web頁面的編寫疏忽,所以還有壹種方法就是從Web應用開發的角度來避免:
1、對所有用戶提交內容進行可靠的輸入驗證,包括對URL、查詢關鍵字、HTTP頭、POST數據等,僅接受指定長度範圍內、采用適當格式、采用所預期的字符的內容提交,對其他的壹律過濾。
2、實現Session標記(session tokens)、CAPTCHA系統或者HTTP引用頭檢查,以防功能被第三方網站所執行。
3、確認接收的的內容被妥善的規範化,僅包含最小的、安全的Tag(沒有javascript),去掉任何對遠程內容的引用(尤其是樣式表和javascript),使用HTTP only的cookie。
當然,如上方法將會降低Web業務系統的可用性,用戶僅能輸入少量的制定字符,人與系統間的交互被降到極致,僅適用於信息發布型站點。
並且考慮到很少有Web編碼人員受過正規的安全培訓,很難做到完全避免頁面中的XSS漏洞。
擴展資料:
XSS攻擊的危害包括
1、盜取各類用戶帳號,如機器登錄帳號、用戶網銀帳號、各類管理員帳號
2、控制企業數據,包括讀取、篡改、添加、刪除企業敏感數據的能力
3、盜竊企業重要的具有商業價值的資料
4、非法轉賬
5、強制發送電子郵件
6、網站掛馬
7、控制受害者機器向其它網站發起攻擊
受攻擊事件
新浪微博XSS受攻擊事件
2011年6月28日晚,新浪微博出現了壹次比較大的XSS攻擊事件。
大量用戶自動發送諸如:
“郭美美事件的壹些未註意到的細節”,“建黨大業中穿幫地方”,“讓女人心動的100句詩歌”,“這是傳說中的神仙眷侶啊”等等微博和私信,並自動關註壹位名為hellosamy的用戶。
事件的經過線索如下:
20:14,開始有大量帶V的認證用戶中招轉發蠕蟲
20:30,某網站中的病毒頁面無法訪問
20:32,新浪微博中hellosamy用戶無法訪問
21:02,新浪漏洞修補完畢
百度貼吧xss攻擊事件
2014年3月9晚,六安吧等幾十個貼吧出現點擊推廣貼會自動轉發等。並且吧友所關註的每個關註的貼吧都會轉壹遍,病毒循環發帖。並且導致吧務人員,和吧友被封禁。
參考資料:
XSS攻擊-百度百科