亚洲综合社区欧美综合色-欧美逼逼一区二区三区-国产老熟女高潮精品网站-国产日韩最新视频在线看

始創(chuàng)于2000年 股票代碼:831685
咨詢熱線:0371-60135900 注冊有禮 登錄
  • 掛牌上市企業(yè)
  • 60秒人工響應(yīng)
  • 99.99%連通率
  • 7*24h人工
  • 故障100倍補償
全部產(chǎn)品
您的位置: 網(wǎng)站首頁 > 幫助中心>文章內(nèi)容

XSS攻擊及保護(hù)Web站點免受跨站攻擊

發(fā)布時間:  2012/9/16 0:45:55
跨站點腳本(XSS)攻擊是當(dāng)今主要的攻擊途徑之一,利用了Web站點的漏洞并使用瀏覽器來竊取cookie或進(jìn)行金融交易?缯军c腳本漏洞比較常見,并且要求組織部署涵蓋威脅建模、掃描工具和大量安全意識在內(nèi)的周密的安全開發(fā)生命周期,以便達(dá)到最佳的XSS防護(hù)和預(yù)防。本文解釋了跨站點腳本攻擊是如何實現(xiàn)并且就如何保護(hù)企業(yè)Web應(yīng)用免于這種攻擊提供了建議。

跨站點腳本講解:XSS攻擊如何實現(xiàn)?

跨站點腳本(XSS)允許攻擊者通過利用因特網(wǎng)服務(wù)器的漏洞來發(fā)送惡意代碼到其他用戶。攻擊者利用跨站點腳本(XSS)攻擊向那些看似可信任的鏈接中注入惡意代碼。當(dāng)用戶點擊了鏈接后,內(nèi)嵌的程序?qū)⒈惶峤徊⑶視谟脩舻碾娔X上執(zhí)行,這會使黑客獲取訪問權(quán)限并偷走敏感數(shù)據(jù)。攻擊者使用XSS來攻擊受害者機(jī)器上的漏洞并且傳輸惡意代碼而不是攻擊系統(tǒng)本身。

通過用戶輸入的數(shù)據(jù)返回錯誤消息的Web表格,攻擊者可以修改控制Web頁面的HTML代碼。黑客能夠在垃圾信息中的鏈接里插入代碼或者使用欺詐郵件來誘使用戶對其身份產(chǎn)生信任。

例如攻擊者可以發(fā)送帶有URL的郵件給受害人,這個URL指向一個Web站點并且提供瀏覽器腳本作為輸入;或者在博客或諸如Facebook、Twitter這樣的社交網(wǎng)站上發(fā)布惡意URL鏈接。當(dāng)用戶點擊這個鏈接時,該惡意站點以及腳本將會在其瀏覽器上運行。瀏覽器不知道腳本是惡意的并將盲目地運行這個程序,這轉(zhuǎn)而允許攻擊者的瀏覽器腳本使用站點的功能來竊取cookie或者冒充合法的用戶來完成交易。

如何保護(hù)Web站點免受跨站點腳本攻擊?

一些通常的跨站點腳本預(yù)防的最佳實踐包括在部署前測試應(yīng)用代碼,并且以快速、簡明的方式修補缺陷和漏洞。Web應(yīng)用開發(fā)人員應(yīng)該過濾用戶的輸入來移除可能的惡意字符和瀏覽器腳本,并且植入用戶輸入過濾代碼來移除惡意字符。通常管理員也可以配置瀏覽器只接受來自信任站點的腳本或者關(guān)閉瀏覽器的腳本功能,盡管這樣做可能導(dǎo)致使用Web站點的功能受限。

隨著時代的進(jìn)步黑客們變得更加先進(jìn),使用收集的工具集來加快漏洞攻擊進(jìn)程。這意味著僅僅部署這些通常的XSS預(yù)防實踐是不夠的,保護(hù)和預(yù)防過程必須從底層開始并持續(xù)提升。預(yù)防過程必須在開發(fā)階段開始,建立在一個牢靠、安全的開發(fā)生命周期方法論之上的Web應(yīng)用在發(fā)布版本中不太可能暴露出漏洞。這樣以來,不僅提升了安全性,也改善了可用性而且縮減了維護(hù)的總體費用,因為在現(xiàn)場環(huán)境中修補問題比在開發(fā)階段會花費更多。

威脅建模在XSS預(yù)防中也是重要的一個方面,應(yīng)該納入到每個組織的安全開發(fā)生命周期當(dāng)中。威脅建模評估和辨識在開發(fā)階段中應(yīng)用程序面臨的所有的風(fēng)險,來幫助Web開發(fā)人員更好地理解需要什么樣的保護(hù)以及攻擊一旦得逞將對組織產(chǎn)生怎樣的影響。要辨識一個特定應(yīng)用的威脅級別,考慮它的資產(chǎn)以及它訪問的敏感信息量是十分重要的。這個威脅建模過程將確保在應(yīng)用的設(shè)計和開發(fā)過程中戰(zhàn)略性地融合了安全因素,并且增強了Web開發(fā)人員的安全意識。

對于大型項目的Web開發(fā)人員來說,源代碼掃描工具和Web應(yīng)用漏洞掃描器是提高效率和減少工作量的通常選擇。Web漏洞掃描器能夠辨識常見的缺陷和漏洞——SQL注入、跨站點腳本和緩沖區(qū)溢出,但是定制的應(yīng)用代碼仍然必須進(jìn)行人工審查。

本文出自:億恩科技【1tcdy.com】

服務(wù)器租用/服務(wù)器托管中國五強!虛擬主機(jī)域名注冊頂級提供商!15年品質(zhì)保障!--億恩科技[ENKJ.COM]

  • 您可能在找
  • 億恩北京公司:
  • 經(jīng)營性ICP/ISP證:京B2-20150015
  • 億恩鄭州公司:
  • 經(jīng)營性ICP/ISP/IDC證:豫B1.B2-20060070
  • 億恩南昌公司:
  • 經(jīng)營性ICP/ISP證:贛B2-20080012
  • 服務(wù)器/云主機(jī) 24小時售后服務(wù)電話:0371-60135900
  • 虛擬主機(jī)/智能建站 24小時售后服務(wù)電話:0371-60135900
  • 專注服務(wù)器托管17年
    掃掃關(guān)注-微信公眾號
    0371-60135900
    Copyright© 1999-2019 ENKJ All Rights Reserved 億恩科技 版權(quán)所有  地址:鄭州市高新區(qū)翠竹街1號總部企業(yè)基地億恩大廈  法律顧問:河南亞太人律師事務(wù)所郝建鋒、杜慧月律師   京公網(wǎng)安備41019702002023號
      0
     
     
     
     

    0371-60135900
    7*24小時客服服務(wù)熱線