浅析URL背后的杀机 网站防范XSS攻击实录

核心提示：XSS(Cross-site scripting)攻击是最常见的Web攻击之一，和其它Web攻击类似的是，浅析URL背后的杀机 网站防范XSS攻击实录，XSS也是利用Web页面编码的不严谨，和SQL注入漏洞所不同的是，请我确认，但我还没下单呢，XSS漏洞更加难以发现避免，就连McAfee、Symantec、VeriSi

XSS(Cross-site scripting)攻击是最常见的Web攻击之一，和其它Web攻击类似的是，XSS也是利用Web页面编码的不严谨，和SQL注入漏洞所不同的是，XSS漏洞更加难以发现避免。就连McAfee、Symantec、VeriSign这种专业安全公司，也在2008年1月的XEED.com报告中被爆出官网存在XSS漏洞。

此外，XSS攻击还有另外一个与众不同的特性：虽然骇客利用的是Web业务系统存在的漏洞，但真正的受害者却是随后访问这些Web系统的用户。

正是由于以上两个特性——难以避免、难以察觉，所以想要防御XSS攻击非常困难。启明星辰推出的天清入侵防御产品，采用基于攻击手法分析的检测方法，对Web威胁如SQL注入、XSS攻击等进行全面检测和防御。与传统的基于数据特征匹配和基于异常模型构建的Web安全相比，有着更低的漏报率和误报率。

网上银行谨防XSS攻击

大家都用过网站的搜索功能，提供一个搜索输入框，用户在框中输入想要查找的内容，提交后台数据库检索。但如果提交的输入信息不是字符串，而是一段可执行指令呢?一个很常见的XSS例子，在输入框中填入“"><SCRIPT>alert('XSS%20Testing')</SCRIPT>”(不包括最外侧的双引号)，一些没有做严格过滤的站点将会弹出一个alert框，显示“XSS Testing”，这意味着这段脚本已经被执行了。Reflect-based XSS(反射式XSS)利用的就是这样一个原理。

以下就是一则利用XSS漏洞进行网银诈骗的真实案例：

小陈是某网上银行的安全维护人员，有一天忽然接到客服部门转来的客户投诉，称收到一条交易提醒，但该客户仅做过网上银行的登录，并没有做过付款动作。

“你们给我发了一封邮件，说是有分期付款买笔记本电脑的优惠活动，我就点链接进来看，可没几分钟，我就收到交易提醒，说网上付款4784元，请我确认，但我还没下单呢，你们这是怎么回事?”电话里客户的声音明显带着压抑不住的愤怒。