Sine安全-网络安全背后的巨人,提供服务器安全_服务器维护_网站安全解决方案

XSS跨站脚本漏洞攻击解剖与安全加固



       XSS漏洞,属于脚本跨站攻击漏洞,通俗来讲就是在页面嵌入一些恶意代码使访问用户打开

页面直接执行一些恶意脚本,在owasp该漏洞排列在网站安全漏洞前
五名,占据安全漏洞的百分

之二十的市场,很受黑客喜欢。但是XSS攻击带来的危
害却很严重,大到可以盗取用户的账号密

码,以及用户登录的cookies,可以修改
密码,窃取数据,篡改网站内容,网站挂马。
 
 

 
XSS漏洞详情

 
1. 网站程序代码中,在提交参数以及可以输入参数的地方,网站设计者没有对其提交过来的参数

进行安全过滤,导致可以返回数据到用户页面,利用参数中的特殊字
符来构造恶意代码,黑客利

用该漏洞执行html代码,跳转到条鱼网站,诱惑用户点
击并二次登陆网站,然后可以记录用户输

入的账号密码。

 
2. XSS网站挂马,网站存在XSS漏洞,攻击者可以利用该漏洞直接嵌入iframe代码,隐藏恶意网址

,将访问网站的用户,直接跳转弹窗等方式进行网站挂马。Sine安全
公司是一家专注于:网站安

、服务器安全、网站安全检测、网站漏洞修复,渗透
测试,安全服务于一体的网络安全服务提供商。

 
3. 用户cookies盗用,cookies是一个网站用户登录后的一个身份验证,表明是这个用户的登录,

跨站攻击可以盗取用户的cookies,进行伪造登录网站,利用用户的
身份,从而进行盗取用户的

资金,以及修改用户的账号密码,可以进行一切用户的
网站操作。
 
 
4. 网站劫持,XSS变态攻击代码,可以对网站进行劫持,对网站的收录产生影响,吸引蜘蛛爬

取XSS代码里的内容,导致网站收录一些赌博相关的内容。

 
 
5. XSS蠕虫攻击,利用该漏洞可以进行网站挂马,以及刷访客流量,进行DDOS、CC攻击,以

及弹窗广告。
 
 
 
XSS跨站漏洞验证
 

在用户以及可以输入参数的地方,使用XSS攻击代码,"><img src=11 onerror=alert(sine)></img>

进行网站安全测试,也可以使用XSS安全检测工具,
进行详细的安全检测,XSS攻击通用代码还

包含:/><script>alert
(document.cookie)</script><!,<script>alert('sine')</script>
 
 
 
XSS跨站漏洞修复加固方案
 
 
XSS跨站漏洞,实际上一种html静态页面的代码注入,将代码注入到静态网页中去,在如何防止

XSS攻击上,主要就是对用户输入提交的数据进行安全过滤,对特殊
的字符进行安全转义。对网

站里所有的输入包括iframe script等的特征代码,进
行严谨的安全审计,包括用户交互功能,提

交,留言板等的接口,也需要在get 
post cookies变量中进行过滤。对其提交的数据长度,进行安

全限制,前端采用JS
安全过滤,后端在服务器端里进行安全过滤。输出的数据也要过滤。
 
分享: