很多公司的網站維護者都會問,到底什么XSS跨站漏洞?簡單來說XSS,也叫跨站漏洞,攻擊者對網站代碼進行攻擊檢測,對前端輸入的地方注入了XSS攻擊代碼,並寫入到網站中,使用戶訪問該網站的時候,自動加載惡意的JS代碼並執行,通過XSS跨站漏洞可以獲取網站用戶的cookies以及seeion值,來竊取用戶的賬號密碼等等的攻擊行為,很多客戶收到了網警發出的信息安全等級保護的網站漏洞整改書,說網站存在XSS跨站漏洞,客戶找到我們SINE安全公司尋求對該漏洞的修復以及解決。針對這種情況,我們來深入了解下XSS,以及該如何修復這種漏洞。
XSS攻擊又分好幾個種類,分存儲型XSS,反射型XSS,DOM型XSS,為了快速的讓大家理解這些專業術語,我這面通俗易懂的跟大家介紹一下,存儲型XSS就是將惡意代碼存儲到網站中,比如網站的留言板,新聞,投稿等功能里注入了惡意JS代碼,當有客戶訪問網站的時候就會觸發JS惡意代碼,這種類型是目前比較常見的,也是攻擊者最喜歡用的。
反射型的XSS跨站,不是長期可以加載惡意代碼的,並不留存於網站代碼中,這種攻擊是需要誘導客戶去點擊特定的URL地址才能觸發。
DOM型XSS,是反射型XSS的另一種表現形式,是根據DOM文檔對象調用JS腳本來實現攻擊的,大部分的的DOM都是篡改dom屬性來執行攻擊命令。具體的攻擊症狀如下圖:
攻擊者利用XSS漏洞,可以獲取網站的后台管理員的cookies,利用cookies偽造對后台進行登錄,獲取管理員的權限,查看更多的用戶隱私,以及對網站進行提權,上傳webshell等操作,對網站危害較大,各位網站的負責人應該重視這個問題的嚴重性,別等出問題了,受到信息安全等級保護的處罰就得不償失了。
XSS跨站漏洞修復方案與辦法
XSS跨站漏洞的產生的根源是對前端輸入的值以及輸出的值進行全面的安全過濾,對一些非法的參數,像<>、,",'等進行自動轉義,或者是強制的攔截並提示,過濾雙引號,分好,單引號,對字符進行HTML實體編碼操作,如果您對網站代碼不是太懂,可以找專業的網站安全公司來修復XSS跨站漏洞,國內也就SINESAFE,深信服,綠盟,啟明星辰比較專業,關於漏洞的修復辦法,遵循的就是get,post,提交參數的嚴格過濾,對一些含有攻擊特征的代碼進行攔截。