跨站點(diǎn)腳本（XSS）攻擊是當(dāng)今主要的攻擊途徑之一，利用了Web站點(diǎn)的漏洞并使用瀏覽器來(lái)竊取cookie或進(jìn)行金融交易?？缯军c(diǎn)腳本漏洞比較常見(jiàn)，并且要求組織部署涵蓋威脅建模、掃描工具和大量安全意識(shí)在內(nèi)的周密的安全開(kāi)發(fā)生命周期，以便達(dá)到最佳的XSS防護(hù)和預(yù)防。本文解釋了跨站點(diǎn)腳本攻擊是如何實(shí)現(xiàn)并且就如何保護(hù)企業(yè)Web應(yīng)用免于這種攻擊提供了建議。
 
跨站點(diǎn)腳本講解：XSS攻擊如何實(shí)現(xiàn)？

跨站點(diǎn)腳本（XSS）允許攻擊者通過(guò)利用因特網(wǎng)服務(wù)器的漏洞來(lái)發(fā)送惡意代碼到其他用戶(hù)。攻擊者利用跨站點(diǎn)腳本（XSS）攻擊向那些看似可信任的鏈接中注入惡意代碼。當(dāng)用戶(hù)點(diǎn)擊了鏈接后，內(nèi)嵌的程序?qū)⒈惶峤徊⑶視?huì)在用戶(hù)的電腦上執(zhí)行，這會(huì)使黑客獲取訪(fǎng)問(wèn)權(quán)限并偷走敏感數(shù)據(jù)。攻擊者使用XSS來(lái)攻擊受害者機(jī)器上的漏洞并且傳輸惡意代碼而不是攻擊系統(tǒng)本身。

通過(guò)用戶(hù)輸入的數(shù)據(jù)返回錯(cuò)誤消息的Web表格，攻擊者可以修改控制Web頁(yè)面的HTML代碼。黑客能夠在垃圾信息中的鏈接里插入代碼或者使用欺詐郵件來(lái)誘使用戶(hù)對(duì)其身份產(chǎn)生信任。

例如攻擊者可以發(fā)送帶有URL的郵件給受害人，這個(gè)URL指向一個(gè)Web站點(diǎn)并且提供瀏覽器腳本作為輸入；或者在博客或諸如Facebook、Twitter這樣的社交網(wǎng)站上發(fā)布惡意URL鏈接。當(dāng)用戶(hù)點(diǎn)擊這個(gè)鏈接時(shí)，該惡意站點(diǎn)以及腳本將會(huì)在其瀏覽器上運(yùn)行。瀏覽器不知道腳本是惡意的并將盲目地運(yùn)行這個(gè)程序，這轉(zhuǎn)而允許攻擊者的瀏覽器腳本使用站點(diǎn)的功能來(lái)竊取cookie或者冒充合法的用戶(hù)來(lái)完成交易。

如何保護(hù)Web站點(diǎn)免受跨站點(diǎn)腳本攻擊？

一些通常的跨站點(diǎn)腳本預(yù)防的最佳實(shí)踐包括在部署前測(cè)試應(yīng)用代碼，并且以快速、簡(jiǎn)明的方式修補(bǔ)缺陷和漏洞。Web應(yīng)用開(kāi)發(fā)人員應(yīng)該過(guò)濾用戶(hù)的輸入來(lái)移除可能的惡意字符和瀏覽器腳本，并且植入用戶(hù)輸入過(guò)濾代碼來(lái)移除惡意字符。通常管理員也可以配置瀏覽器只接受來(lái)自信任站點(diǎn)的腳本或者關(guān)閉瀏覽器的腳本功能，盡管這樣做可能導(dǎo)致使用Web站點(diǎn)的功能受限。

隨著時(shí)代的進(jìn)步黑客們變得更加先進(jìn)，使用收集的工具集來(lái)加快漏洞攻擊進(jìn)程。這意味著僅僅部署這些通常的XSS預(yù)防實(shí)踐是不夠的，保護(hù)和預(yù)防過(guò)程必須從底層開(kāi)始并持續(xù)提升。預(yù)防過(guò)程必須在開(kāi)發(fā)階段開(kāi)始，建立在一個(gè)牢靠、安全的開(kāi)發(fā)生命周期方法論之上的Web應(yīng)用在發(fā)布版本中不太可能暴露出漏洞。這樣以來(lái)，不僅提升了安全性，也改善了可用性而且縮減了維護(hù)的總體費(fèi)用，因?yàn)樵诂F(xiàn)場(chǎng)環(huán)境中修補(bǔ)問(wèn)題比在開(kāi)發(fā)階段會(huì)花費(fèi)更多。

威脅建模在XSS預(yù)防中也是重要的一個(gè)方面，應(yīng)該納入到每個(gè)組織的安全開(kāi)發(fā)生命周期當(dāng)中。威脅建模評(píng)估和辨識(shí)在開(kāi)發(fā)階段中應(yīng)用程序面臨的所有的風(fēng)險(xiǎn)，來(lái)幫助Web開(kāi)發(fā)人員更好地理解需要什么樣的保護(hù)以及攻擊一旦得逞將對(duì)組織產(chǎn)生怎樣的影響。要辨識(shí)一個(gè)特定應(yīng)用的威脅級(jí)別，考慮它的資產(chǎn)以及它訪(fǎng)問(wèn)的敏感信息量是十分重要的。這個(gè)威脅建模過(guò)程將確保在應(yīng)用的設(shè)計(jì)和開(kāi)發(fā)過(guò)程中戰(zhàn)略性地融合了安全因素，并且增強(qiáng)了Web開(kāi)發(fā)人員的安全意識(shí)。

對(duì)于大型項(xiàng)目的Web開(kāi)發(fā)人員來(lái)說(shuō)，源代碼掃描工具和Web應(yīng)用漏洞掃描器是提高效率和減少工作量的通常選擇。Web漏洞掃描器能夠辨識(shí)常見(jiàn)的缺陷和漏洞——SQL注入、跨站點(diǎn)腳本和緩沖區(qū)溢出，但是定制的應(yīng)用代碼仍然必須進(jìn)行人工審查。