摘要:二十多年來,跨站腳本簡稱漏洞一直是主流網站的心頭之痛。大多數主流網站,包括谷歌,,以及,都曾受過漏洞的影響。而且,諸如運行時應用自我保護等網關安全技術也有助于檢測并防御對漏洞的攻擊。
二十多年來,跨站腳本(簡稱 XSS)漏洞一直是主流網站的心頭之痛。為什么過了這么久,這些網站還是對此類漏洞束手無策呢?
對于最近 eBay 網站曝出的跨站腳本漏洞,你有什么想法?為什么會出現這樣的漏網之魚?一個如此大規模的網站,不應該具備可靠的網關安全技術以阻止任何情況下的 XSS 攻擊么?
即便從上世紀 90 年代開始,跨站腳本漏洞就已經為人們所熟知。時至今日,它仍在貽害為數不少的網站。大多數主流網站,包括谷歌,CNN,PayPal 以及 Facebook,都曾受過 XSS 漏洞的影響。該漏洞也常年出現在 CWE/SANS 前 25 個最危險的編程錯誤、OWASP 前 10 個最致命的 Web 應用安全風險之類的榜單。
XSS 攻擊與大多數應用層攻擊(諸如 SQL 注入攻擊)不同,因為它攻擊的是應用的用戶,而非應用本身或應用服務器。這類攻擊會往 Web 應用的內容中注入代碼,通常是 JavaScript 之類的客戶端代碼。大多數網站都有許許多多的注入位置,包括搜索框、反饋表格,cookie 以及論壇等。借助 XSS 漏洞,黑客可以竊取數據,控制用戶的會話,運行惡意代碼,或操縱受害用戶瀏覽器中顯示的內容。
像 eBay 這樣的網站,幾乎完全基于用戶產生的內容,通常在用戶的項目描述部分包含許多活動內容(Active Content),比如 JavaScript 和 Flash。由于網站必須與用戶互動,接收來自用戶的輸入、返回數據,這意味著,攻擊者也可以直接與網站互動,從而穿破傳統的外圍安全防護。除非所有用戶提供的內容都經過嚴格審查,XSS 攻擊代碼就有可能注入拍賣清單頁面,從而影響每個訪問該頁面的用戶。用戶輸入的所有內容(表單數據、cookie、郵件、文件、圖片等)都應該視為不可信任,需要經歷審查,刪除其中可能被惡意使用的字符與字符串,才能繼續執行腳本或傳給數據庫。
導致 eBay 這樣的大網站持續受到 XSS 攻擊的一大原因,是這些網站過于復雜,實時生成的網頁常常會包含許多外部站點的內容。這使得測試階段,枚舉用戶與應用交互的所有排列組合變得不太現實,繼而導致 XSS 漏網之魚的出現。
話雖如此,eBay 居然沒有一套更為嚴格的代碼審查流程(近幾周發現了多個 XSS 漏洞),還是有些令人吃驚。用于測試 XSS 漏洞的工具其實很多,它們都能在代碼上線之前有效查找漏洞。此外,開發者也可以使用安全控制庫(諸如 OWASP 的企業安全 API 或微軟的反跨站腳本庫),而不需要自己編寫驗證檢查。而且,諸如運行時應用自我保護(RASP)等網關安全技術也有助于檢測并防御對 XSS 漏洞的攻擊。因此,如此主流的一個大網站(eBay),卻沒能有效防御如此廣為人知的安全漏洞,實在是有些讓人失望。
如今,多樣化的攻擊手段層出不窮,傳統安全解決方案越來越難以應對網絡安全攻擊。OneRASP 實時應用自我保護技術,可以為軟件產品提供精準的實時保護,使其免受漏洞所累。想閱讀更多技術文章,請訪問 [OneAPM 官方技術博客]。
本文轉自 OneAPM 官方博客
文章版權歸作者所有,未經允許請勿轉載,若此文章存在違規行為,您可以聯系管理員刪除。
轉載請注明本文地址:http://specialneedsforspecialkids.com/yun/11189.html
摘要:禁止內聯腳本執行規則較嚴格,目前發現使用。合理使用上報可以及時發現,利于盡快修復問題。因為事件會從目標元素一層層冒泡至對象。允許給一個事件注冊多個監聽。表示在捕獲階段觸發,表示在冒泡階段觸發。 關于【Step-By-Step】 Step-By-Step (點擊進入項目) 是我于 2019-05-20 開始的一個項目,每個工作日發布一道面試題。每個周末我會仔細閱讀大家的答案,整理最一份...
摘要:系列文章前端安全系列篇前端安全系列篇攻擊全稱跨站腳本攻擊,為不和層疊樣式表的縮寫混淆,故將跨站腳本攻擊縮寫為,是一種在應用中的計算機安全漏洞,它允許惡意用戶將代碼植入到提供給其它用戶使用的頁面中。 系列文章: 前端安全系列:XSS篇前端安全系列:CSRF篇 XSS攻擊 全稱跨站腳本攻擊,為不和層疊樣式表(Cascading Style Sheets, CSS)的縮寫混淆,故將跨站腳本攻...
摘要:此漏洞允許威脅行為者通過遠程工作人員分發惡意文檔,但使其看起來像是直接從下載的。目前顯示,的跨站漏洞已經修復。而以上釣魚攻擊利用的是中第二普遍的安全問題,存在于近三分之二的應用中。 .markdown-body{word-break:break-word;line-height:1.75;font-weight:400;font-size:15px;overflow-x:hidde...
閱讀 2124·2019-08-29 16:53
閱讀 2699·2019-08-29 16:07
閱讀 2042·2019-08-29 13:13
閱讀 3267·2019-08-26 13:57
閱讀 1331·2019-08-26 13:31
閱讀 2433·2019-08-26 13:22
閱讀 1221·2019-08-26 11:43
閱讀 2084·2019-08-23 17:14