XSS攻擊案例

僅在2009年上半年，著名的社交網(wǎng)站校內(nèi)網(wǎng)就爆發(fā)了多處的XSS Worm威脅，就在前幾天在校內(nèi)網(wǎng)又爆發(fā)了Flash XSS Worm威脅，現(xiàn)在已經(jīng)有許多的用戶執(zhí)行惡意代碼并受到了各種病毒威脅。相信08年的QQ Mail的XSS跨站漏洞大家都還記憶猶新，當(dāng)你打開(kāi)一封QQ好友發(fā)來(lái)的信件時(shí)，惡意代碼已經(jīng)悄悄被你執(zhí)行了，此時(shí)你主機(jī)可能成為黑客的一臺(tái)肉機(jī)。

XSS 跨站漏洞

XSS攻擊：跨站腳本攻擊(Cross Site Scripting)，為不和層疊樣式表(Cascading Style Sheets, CSS)的縮寫混淆。故將跨站腳本攻擊縮寫為XSS。XSS是一種經(jīng)常出現(xiàn)在Web應(yīng)用中的計(jì)算機(jī)安全漏洞，它允許惡意Web用戶將代碼植入到提供給其它用戶使用的頁(yè)面中。比如這些代碼包括HTML代碼和客戶端腳本。攻擊者利用XSS漏洞旁路掉訪問(wèn)控制——例如同源策略(same origin policy)。這種類型的漏洞由于被駭客用來(lái)編寫危害性更大的phishing攻擊而變得廣為人知。對(duì)于跨站腳本攻擊，黑客界共識(shí)是：跨站腳本攻擊是新型的“緩沖區(qū)溢出攻擊“，而JavaScript是新型的“ShellCode”。

XSS 漏洞的特點(diǎn)：

(1)XSS跨站漏洞種類多樣性：

XSS攻擊語(yǔ)句可插入到、URL地址參數(shù)后面、輸入框內(nèi)、img標(biāo)簽及DIV標(biāo)簽等HTML函數(shù)的屬性里、Flash的getURL()動(dòng)作等地方都會(huì)觸發(fā)XSS漏洞。

(2)XSS跨站漏洞代碼多樣性：

為了躲避轉(zhuǎn)義HTML特殊字符函數(shù)及過(guò)濾函數(shù)的過(guò)濾，XSS跨站的代碼使用“/”來(lái)代替安字符“””、使用Tab鍵代替空格、部分語(yǔ)句轉(zhuǎn)找成16進(jìn)制、添加特殊字符、改變大小寫及使用空格等來(lái)繞過(guò)過(guò)濾函數(shù)。

如果在您的新聞系統(tǒng)發(fā)現(xiàn)安全漏洞，如果該漏洞是一個(gè)SQL 注入漏洞，那么該漏洞就會(huì)得到您的網(wǎng)站管理員密碼、可以在主機(jī)系統(tǒng)上執(zhí)行shell命令、對(duì)數(shù)據(jù)庫(kù)添加、刪除數(shù)據(jù)。如果在您的新聞或郵件系統(tǒng)中發(fā)現(xiàn)安全漏洞，如果該漏洞是一個(gè)XSS跨站漏洞，那么可以構(gòu)造一些特殊代碼，只要你訪問(wèn)的頁(yè)面包含了構(gòu)造的特殊代碼，您的主機(jī)可能就會(huì)執(zhí)行木馬程序、執(zhí)行盜取Cookies代碼、突然轉(zhuǎn)到一個(gè)銀行及其它金融類的網(wǎng)站、泄露您的網(wǎng)銀及其它賬號(hào)與密碼等。

現(xiàn)在Web業(yè)務(wù)系統(tǒng)的安全防護(hù)意見(jiàn)不統(tǒng)一，最早我們以為使用了防火墻關(guān)閉了危險(xiǎn)端口、安裝了殺毒軟件我們的信息系統(tǒng)將會(huì)很安全?，F(xiàn)在隨著企業(yè)對(duì)信息安全重示及關(guān)主度的提高，開(kāi)始為自己的信息安全部署入侵預(yù)防系統(tǒng)(IPS: Intrusion Prevension System)來(lái)提高信息系統(tǒng)的安全性，由于技術(shù)等各方面因素制約，IPS并不能100%正確分析入侵行為，從而可能會(huì)阻斷有用信息，導(dǎo)致業(yè)務(wù)系統(tǒng)的客戶獲取信息不全，因此不適用于對(duì)數(shù)據(jù)完整性有較高要求的場(chǎng)合。

因IPS存在的一定的誤報(bào)性，所以一些企業(yè)會(huì)把IPS的高危險(xiǎn)策略的動(dòng)作由阻斷改為忽略。IPS的檢測(cè)技術(shù)流程是攻擊者向我們服務(wù)器提交惡意的代碼時(shí)，我們的IPS會(huì)做它做出一個(gè)動(dòng)作是阻斷還是放行，只有攻擊者在向我們服務(wù)器進(jìn)行攻擊時(shí)我們才IPS才會(huì)做出動(dòng)作，所以我們不能真正了解目前我們的Web信息系統(tǒng)的安全狀態(tài)，我們信息系統(tǒng)的安全一直處在被動(dòng)的狀態(tài)。我們的信息系統(tǒng)同樣得不到真正的安全，那怎么來(lái)保護(hù)我們信息系統(tǒng)的安全呢？

主動(dòng)出擊防護(hù)您的信息系統(tǒng)

聯(lián)想網(wǎng)御安全服務(wù)部成立多年來(lái)，一直關(guān)注于國(guó)內(nèi)信息安全的發(fā)展趨勢(shì)，目前，應(yīng)用安全已經(jīng)成為信息安全中的重點(diǎn)。應(yīng)用系統(tǒng)是客戶的業(yè)務(wù)、生產(chǎn)系統(tǒng)的基本組成，應(yīng)用系統(tǒng)安全才是客戶目前都迫切解決的安全。針對(duì)目前客戶所面臨信息安全的狀況，聯(lián)想網(wǎng)御把以往的安全服務(wù)項(xiàng)目做了一個(gè)針對(duì)性的調(diào)整，推出了“Web應(yīng)用安全服務(wù)” 。

Web應(yīng)用安全服務(wù)是針對(duì)客戶的Web應(yīng)用系統(tǒng)首先由專業(yè)滲透測(cè)試工程師對(duì)Web應(yīng)用系統(tǒng)進(jìn)行滲透測(cè)試;具有安全編程的工程師對(duì)Web源代碼進(jìn)行安全審計(jì);對(duì)客戶的網(wǎng)絡(luò)環(huán)境進(jìn)行安全評(píng)估;最后把滲透測(cè)試、源代碼審計(jì)、網(wǎng)絡(luò)評(píng)估的安全加固，做出一個(gè)全面有針對(duì)性的安全加固方案。全面對(duì)主機(jī)系統(tǒng)、Web應(yīng)用服務(wù)器、網(wǎng)絡(luò)設(shè)備進(jìn)行安全加固，保證客戶的Web應(yīng)用安全，使客戶安全放心使用信息系統(tǒng)。

【編輯推薦】

1. 終極Web安全防護(hù)解決方案（1）
2. Web應(yīng)用與Web應(yīng)用防火墻之Web應(yīng)用
3. Web應(yīng)用安全日趨嚴(yán)重我們?cè)撃檬裁凑?/span>