浅析URL背后的杀机 网站防范XSS攻击实录
2008-12-03 13:37:42 来源:WEB开发网XSS(Cross-site scripting)攻击是最常见的Web攻击之一,和其它Web攻击类似的是,XSS也是利用Web页面编码的不严谨,和SQL注入漏洞所不同的是,XSS漏洞更加难以发现避免。就连McAfee、Symantec、VeriSign这种专业安全公司,也在2008年1月的XEED.com报告中被爆出官网存在XSS漏洞。
此外,XSS攻击还有另外一个与众不同的特性:虽然骇客利用的是Web业务系统存在的漏洞,但真正的受害者却是随后访问这些Web系统的用户。
正是由于以上两个特性——难以避免、难以察觉,所以想要防御XSS攻击非常困难。启明星辰推出的天清入侵防御产品,采用基于攻击手法分析的检测方法,对Web威胁如SQL注入、XSS攻击等进行全面检测和防御。与传统的基于数据特征匹配和基于异常模型构建的Web安全相比,有着更低的漏报率和误报率。
网上银行谨防XSS攻击
大家都用过网站的搜索功能,提供一个搜索输入框,用户在框中输入想要查找的内容,提交后台数据库检索。但如果提交的输入信息不是字符串,而是一段可执行指令呢?一个很常见的XSS例子,在输入框中填入“"><SCRIPT>alert('XSS%20Testing')</SCRIPT>”(不包括最外侧的双引号),一些没有做严格过滤的站点将会弹出一个alert框,显示“XSS Testing”,这意味着这段脚本已经被执行了。Reflect-based XSS(反射式XSS)利用的就是这样一个原理。
以下就是一则利用XSS漏洞进行网银诈骗的真实案例:
小陈是某网上银行的安全维护人员,有一天忽然接到客服部门转来的客户投诉,称收到一条交易提醒,但该客户仅做过网上银行的登录,并没有做过付款动作。
“你们给我发了一封邮件,说是有分期付款买笔记本电脑的优惠活动,我就点链接进来看,可没几分钟,我就收到交易提醒,说网上付款4784元,请我确认,但我还没下单呢,你们这是怎么回事?”电话里客户的声音明显带着压抑不住的愤怒。
更多精彩
赞助商链接