此文章主要闡述的是面對(duì)跨站腳本攻擊XSS的安全防御的相關(guān)建議，你如果對(duì)跨站腳本攻擊XSS的安全防御的相關(guān)建議有興趣的話你就可以點(diǎn)擊以下的文章進(jìn)行觀看了，以下就是文章的詳細(xì)內(nèi)容介紹，望大家借鑒。

XSS攻擊作為Web業(yè)務(wù)的最大威脅，危害的不僅僅是Web業(yè)務(wù)本身，對(duì)訪問(wèn)Web業(yè)務(wù)的用戶也會(huì)帶來(lái)直接的影響，如何防范和阻止XSS攻擊，保障Web站點(diǎn)的業(yè)務(wù)安全呢？

首先我們就要了解什么是XSS攻擊。

第 1 頁(yè) 面對(duì)跨站腳本攻擊XSS的安全防御建議

XSS攻擊作為Web業(yè)務(wù)的最大威脅之一，不僅危害Web業(yè)務(wù)本身，對(duì)訪問(wèn)Web業(yè)務(wù)的用戶也會(huì)帶來(lái)直接的影響，如何防范和阻止XSS攻擊，保障Web站點(diǎn)的業(yè)務(wù)安全呢？首先我們就要了解什么是XSS攻擊。

一 什么是XSS攻擊：

XSS的全稱是Cross Site Scripting，意思是跨站腳本。這第一個(gè)單詞是Cross，為什么縮寫成X呢？因?yàn)镃SS是層疊樣式表的縮寫(Cascading Style Sheets)的縮寫，同時(shí)Cross發(fā)音和X相似，為了避免混淆用X來(lái)代替,縮寫成XSS。它指的是惡意攻擊者往Web頁(yè)面里插入惡意html代碼，當(dāng)用戶瀏覽該頁(yè)之時(shí)，嵌入其中Web里面的html代碼會(huì)被執(zhí)行，從而達(dá)到惡意用戶的特殊目的。XSS屬于被動(dòng)式的攻擊，因?yàn)槠浔粍?dòng)且不好利用，所以許多人常呼略其危害性。

二 XSS的攻擊方式：

跨站攻擊有多種方式，由HTML語(yǔ)言允許使用腳本進(jìn)行簡(jiǎn)單交互，入侵者便通過(guò)技術(shù)手段在某個(gè)頁(yè)面里插入一個(gè)惡意HTML代碼--例如記錄論壇保存的用戶信息(Cookie)，由于Cookie保存了完整的用戶名和密碼資料，用戶就會(huì)遭受安全損失。當(dāng)然，攻擊者有時(shí)也會(huì)在網(wǎng)頁(yè)中加入一些以.JS或.VBS為后尾名的代碼時(shí)，在我們?yōu)g覽時(shí)，同樣我們也會(huì)被攻擊到。

三 XSS攻擊的危害：

1、盜取各類用戶帳號(hào)，如機(jī)器登錄帳號(hào)、用戶網(wǎng)銀帳號(hào)、各類管理員帳號(hào)

2、控制企業(yè)數(shù)據(jù)，包括讀取、篡改、添加、刪除企業(yè)敏感數(shù)據(jù)的能力

3、盜竊企業(yè)重要的具有商業(yè)價(jià)值的資料

4、非法轉(zhuǎn)賬

5、強(qiáng)制發(fā)送電子郵件

6、網(wǎng)站掛馬

7、控制受害者機(jī)器向其它網(wǎng)站發(fā)起攻擊

四 XSS攻擊漏洞：

XSS攻擊分成兩類，一類是來(lái)自內(nèi)部的攻擊，主要指的是利用程序自身的漏洞，構(gòu)造跨站語(yǔ)句，如:dvbbs的showerror.asp存在的跨站漏洞。另一類則是來(lái)來(lái)自外部的攻擊，主要指的自己構(gòu)造跨站腳本攻擊XSS跨站漏洞網(wǎng)頁(yè)或者尋找非目標(biāo)機(jī)以外的有跨站漏洞的網(wǎng)頁(yè)。如當(dāng)我們要滲透一個(gè)站點(diǎn)，我們自己構(gòu)造一個(gè)有跨站漏洞的網(wǎng)頁(yè)，然后構(gòu)造跨站語(yǔ)句，通過(guò)結(jié)合其它技術(shù)，如社會(huì)工程學(xué)等，欺騙目標(biāo)服務(wù)器的管理員打開(kāi)。

五 XSS的基本防御技術(shù)：

1、基于特征的防御：XSS漏洞和著名的SQL注入漏洞一樣，都是利用了Web頁(yè)面的編寫不完善，所以每一個(gè)漏洞所利用和針對(duì)的弱點(diǎn)都不盡相同。這就給XSS漏洞防御帶來(lái)了困難：不可能以單一特征來(lái)概括所有XSS攻擊。傳統(tǒng)XSS防御多采用特征匹配方式，在所有提交的信息中都進(jìn)行匹配檢查。對(duì)于這種類型的XSS攻擊，采用的模式匹配方法一般會(huì)需要對(duì)"javascript"這個(gè)關(guān)鍵字進(jìn)行檢索，一旦發(fā)現(xiàn)提交信息中包含"javascript"，就認(rèn)定為XSS攻擊。這種檢測(cè)方法的缺陷顯而易見(jiàn)：駭客可以通過(guò)插入字符或完全編碼的方式躲避檢測(cè)：

躲避方法1)在javascript中加入多個(gè)tab鍵，得到

< IMG SRC="jav ascript:alert('XSS');" >;

躲避方法2) 在javascript中加入&#x09編碼字符，得到

< IMG SRC="javascript:alert('XSS');" >;

躲避方法3) 在javascript中加入

字符，得到

< IMG SRC="jav

ascript:alert('XSS');" >;

上述的相關(guān)內(nèi)容就是對(duì)面對(duì)跨站腳本攻擊XSS的安全防御建議的描述，希望會(huì)給你帶來(lái)一些幫助在此方面。