近日，安恒信息安全研究院在研究過程中發現百度、騰訊、新浪等多家互聯網公司的WEB應用產品存在存儲型跨站漏洞，影響和危害十分嚴重，可能直接影響中國互聯網數以億記的廣大網民的信息安全。安恒信息安全研究院本著對互聯網的"協作"精神及安全研究團隊的責任感，在發現漏洞后立即與百度等公司安全部門取得聯系并提交所發現的漏洞，并協助其修復漏洞。

危害

互聯網高速發展的這幾年，跨站漏洞一直排在OWASP十大漏洞的前三位，國內著名的漏洞報告平臺WOOYUN上也有諸多廠商被跨站漏洞攻擊而導致管理后臺淪陷的案例。一般最常見的跨站漏洞攻擊方法就是利用"社會工程學"，誘騙網站管理員或者網站瀏覽者點擊精心構造的網站中的某個鏈接，該鏈就會將瀏覽者在該網站中的Cookie通過攻擊者事先已經在某個主機空間建立好的一個文件保存到另一個文件中，攻擊者利用所獲取到的Cookie劫持用戶的會話后，就可以訪問該用戶經授權訪問的所有數據和功能。有時，跨站攻擊也可能轉變成一種病毒或能夠自我繁殖的蠕蟲，特別是當下十分流行的微博很容易被這樣的漏洞所攻擊,這種攻擊確實很嚴重。

原因

出現跨站漏洞的原因可能是因為網站開發人員在開發過程中，未對用戶輸入字符正確執行危險字符清理。

針對網站開發者的建議：

1.限制在CGI中用戶提交數據的長度。

2.對所有用戶提交內容進行可靠的輸入驗證。這些提交內容包括URL、查詢關鍵字、http頭、post數據等。

3.對文件的參數傳遞做嚴格的過濾、阻塞或忽略其它的任何東西（過濾"<"">""script""iframe"等）；

4.保護所有敏感的功能，以防被bots自動化或者被第三方網站所執行。實現session標記（session tokens）、CAPTCHA系統或者HTTP引用頭檢查

5.如果web應用必須支持用戶提供的HTML，請確認接收的HTML內容被妥善地格式化，僅包含最小化的、安全的tag（絕對沒有JavaScript），去掉任何對遠程內容的引用（尤其是樣式表和JavaScript）。為了更多的安全，請使用httpOnly的cookie。

6.留心可疑的過長鏈接，尤其是它們看上去包含了HTML代碼。如果對其產生懷疑，可以在瀏覽器地址欄中手工輸入域名，而后通過該頁面中的鏈接瀏覽你所要的信息

7.使用第三方WEB防火墻增強整個網站系統安全。

針對網站管理員和普通網友的建議：

1.不要輕易打開郵件、QQ消息、站內短信等不明和奇怪的URL鏈接，發現有奇怪鏈接或者短鏈接（如現在中微博流行的短鏈接）應選擇刪除或忽視。

2.如果你使用的是IE瀏覽器請升級到最新版本，微軟從IE8開始內置了XSS腳本攔截保護的瀏覽器。谷歌的Chrome現在也內置了該功能。如果你使用的Firefox火狐瀏覽器則可以利用免費的NoScrpit附加組件有選擇地攔截腳本。

3.同時最重要的是提高自己的信息安全意識，在使用互聯網的過程中學會自我保護。