|
|
如何应对跨站脚本攻击
XSS漏洞是影响最广危险最大的网页安全程序漏洞,XSS漏洞发生在程序直接把用户的数据发送到网络浏览器的时候而没有确认和编译这些内容。这就使得在浏览器中执行恶意的脚本,让黑客劫持用户数据,甚至黑掉网站,在网站中插入恶意内容,还有发动网络钓鱼和恶意软件攻击。
这些攻击通常是以Java脚本的形式出现的,可以让黑客控制所有的网页。最坏的情况就是黑客可能会盗取客户资料或是假装成银行客户。
实例:PayPal(一种网上支付方式,可以付钱给任何有e-mail的人,主要用于个人之间的网上交易)去年就遭到攻击,黑客欺骗PayPal的用户访问另外一个页面警告客户说他们的帐户受到威胁。实际上受害者访问的是一个网络钓鱼站点然后获取了PayPal客户的注册信息,社会保险号,信用卡的详细信息。PayPal称2006年的时候已经关闭了这一漏洞。
如何保护客户:利用黑白名单来确认所有的输入数据,拒绝任何不再清单上的数据。
除此之外,需要使用适当的输出数据编码,确认程序允许检测攻击,编码可以有效阻止注入脚本在浏览器中的运行。 |
|
发表于 2009-7-17 08:34:46