跨站漏洞是由於程式設計師在編寫程式時對用戶提交的數據沒有做充分的合規性判斷和進行HTML編碼處理,直接把數據輸出到瀏覽器客戶端,這樣導致用戶可以提交一些特意構造的腳本代碼或HTML標籤代碼,並在輸出到瀏覽器時被執行。黑客利用跨站漏洞輸入惡意的腳本代碼,當惡意的代碼被執行後就形成了所謂的跨站攻擊。一般來說對於人機互動比較高的程式,比如論壇,留言板這類程式都比較容易進行跨站攻擊。
利用跨站漏洞黑客可以在網站中插入任意代碼,這些代碼的功能包括獲取網站管理員或普通用戶的cookie,隱蔽運行網頁木馬,甚至格式化瀏覽者的硬碟,只要腳本代碼能夠實現的功能,跨站攻擊都能夠達到,因此跨站攻擊的危害程度絲毫不亞於溢出攻擊。
基本介紹
- 中文名:跨站漏洞
- 外文名:XSS
- 結果:在網站中插入任意代碼
- 原因:沒有做充分的過濾
- 特點:帶有像JavaScript等這類腳本代碼
防範跨站攻擊,過濾特殊字元,限制字元長度,限制上傳檔案,提高安全等級,增強安全意識,不要有好奇心,
防範跨站攻擊
跨站攻擊相對於其他網路攻擊而言顯得更隱蔽,也更難防範。很多時候問題並不出在用戶身上,而是由於網站的問題,即使我們裝了防火牆,也對跨站攻擊無能為力,因此防範跨站攻擊我們得從兩方面入手,即網站方面和個人用戶方面:
過濾特殊字元
限制字元長度
2.限制輸入字元的長度對於一些可以進行跨站攻擊的表單對象中,我們可以限制其輸入字元的長度。跨站腳本代碼往往較長,如果限制了輸入字元長度,也可以起到很好的防範作用。這個功能可以在資料庫中設定,也可以編寫一段程式代碼來實現。
限制上傳檔案
3.限制用戶上傳flash檔案使用flash檔案進行跨站攻擊可謂防不勝防,如果不能檢測用戶上傳的flash檔案的安全性,索性限制用戶上傳flash檔案,以徹底阻斷flash跨站攻擊的途徑。
提高安全等級
4.提高IE瀏覽器的安全等級個人用戶防範跨站攻擊有一定的難度,但仍可以通過設定來降低被攻擊的機率。運行IE瀏覽器,選擇“工具”選單→“Internet 選項”,切換到“安全”標籤,將安全級別設定為高,同時可以在“自定義”中進行詳細的設定,將一些不需要運行的腳本禁用。但是這樣設定後會造成一些正常的頁面無法打開,如何取捨就看各位了。
增強安全意識
5.增強安全意識和防範措施安裝防毒軟體是必須的,碰到那些插入網頁木馬的跨站攻擊,即使跨站成功,我們運行了網頁木馬,防毒軟體仍能在最後一步將木馬攔截下來。
不要有好奇心
此外,用戶需要“收斂”對那些具有誘惑力連結的好奇心,同時“吝嗇”自己的滑鼠點擊,不輕易點擊陌生連結。在不同的地方使用不同的密碼,即使黑客通過跨站攻擊獲取了你的cookie,並破解出了你的密碼原文,這樣你損失的也只是一個賬戶而已,不至於全軍覆沒。
