XSS跨站脚本攻击

一：什么是跨站脚本？

跨站脚本（cross site script）为了避免与样式css混淆，所以简称为XSS。

XSS是一种经常出现在web应用中的计算机安全漏洞，也是web中最主流的攻击方式。

XSS是指恶意攻击者利用网站没有对用户提交数据进行转义处理或者过滤不足的缺点，进而添加一些代码，嵌入到web页面中去。使别的用户访问都会执行相应的嵌入代码。

不同于大多数攻击（一般只涉及攻击者和受害者），XSS涉及到三方，即攻击者、客户端与网站。XSS的攻击目标是为了盗取客户端的cookie或者其他网站用于识别客户端身份的敏感信息。获取到合法用户的信息后，攻击者甚至可以假冒最终用户与网站进行交互。

从而盗取用户资料、利用用户身份进行某种动作或者对访问者进行病毒侵害的一种攻击方式。

二：跨站脚本攻击的分类

( Reflected Cross-site Scripting)

反射型跨站脚本

也称作非持久型、参数型跨站脚本.

① 主要用于将恶意脚本附加到URL地址的参数中

② 只在用户单击url时触发,而且只执行一次,非持久化

③常用来窃取客户端 Cookies或进行钓鱼欺骗.

④常常为通过引诱用户点击一个恶意链接来实施攻击的

存储型跨站脚本

① 恶意代码被保存到目标网站的服务器中，

每次用户访问时都会执行脚本代码，这种攻击具有较强的稳定性和持久性

② 比反射型跨站脚本更具威胁性,并且可能影响到Web服务器自身的安全.

③ 一般出现在网站的留言、评论、日志等交互处,

三：跨站脚本攻击的危害

网络钓鱼,包括盗取各类用户账号;

窃取用户cookies资料,从而获取用户隐私信息

,或利用用户身份进一步对网站执行操作;

劫持用户(浏览器)会话,从而执行任意操作,例如进行非法转账、强制发表日志、发送电子邮件等;

强制弹出广告页面、刷流量等;

网页挂马;进行恶意操作,例如任意篡改页面信息、删除文章等

进行大量的客户端攻击,如DDoS攻击;

获取客户端信息,例如用户的浏览历史、真实IP、开放端口等;

控制受害者机器向其他网站发起攻击;

结合其他漏洞,如CSRF漏洞,实施进一步作恶;

提升用户权限,包括进一步渗透网站;

传播跨站脚本蠕虫等;

四：DOMBasedXSS（基于dom的跨站点脚本攻击）

　　基于DOM的XSS有时也称为type0XSS。当用户能够通过交互修改浏览器页面中的DOM(DocumentObjectModel)并显示在浏览器上时，就有可能产生这种漏洞，从效果上来说它也是反射型XSS。

　　通过修改页面的DOM节点形成的XSS，称之为DOMBasedXSS。

　　前提是易受攻击的网站有一个HTML页面采用不安全的方式从document.location 或document.URL 或 document.referrer获取数据（或者任何其他攻击者可以修改的对象）。

五：XSS漏洞的普及率有多高？

国际Web应用安全组织WASC（Web Application Security Consortium）最新数据[4]表明，采样分析了10297个网站，其中有31.47%站点存在XSS漏洞，且XSS在发现的漏洞中占到总数的41.41%，高居榜首。

六：能否列举XSS实例？

2005年，一位叫Samy的MySpace用户自创了一种XSS蠕虫，24小时内，其网络空间朋友数目成功从73上升到1百万。

2006年，PayPal遭到XSS攻击，攻击者将PayPal站点的访问者重定向到一个新的页面，上面警告用户他们的帐号已经不再安全，需要重新设置，并提示输入PayPal的登录信息、用户社保信息及信用卡信息。

2008年5月，eBay承认其PayPal页面存在XSS漏洞，该漏洞会被攻击者用于盗取用户证书或cookie。

七：加密是否能有效防护XSS攻击？

通常大家会认为如果网站使用了HTTPS，提供更有保障的安全，可以幸免于XSS攻击。其实这是一种误解。HTTPS仅提供传输层的安全，在应用层仍然面临XSS的威胁。

八：从网站开发者角度，如何防护XSS攻击？

来自应用安全国际组织OWASP的建议，对XSS最佳的防护应该结合以下两种方法：验证所有输入数据，有效检测攻击;对所有输出数据进行适当的编码，以防止任何已成功注入的脚本在浏览器端运行。具体如下：

输入验证：某个数据被接受为可被显示或存储之前，使用标准输入验证机制，验证所有输入数据的长度、类型、语法以及业务规则。

强壮的输出编码：数据输出前，确保用户提交的数据已被正确进行entity编码，建议对所有字符进行编码而不仅局限于某个子集。

明确指定输出的编码方式（如ISO 8859-1或 UTF 8）：不要允许攻击者为你的用户选择编码方式。

注意黑名单验证方式的局限性：仅仅查找或替换一些字符（如"<" ">"或类似"script"的关键字），很容易被XSS变种攻击绕过验证机制。

警惕规范化错误：验证输入之前，必须进行解码及规范化以符合应用程序当前的内部表示方法。请确定应用程序对同一输入不做两次解码。

九：从网站用户角度，如何防护XSS攻击？

当你打开一封Email或附件、浏览论坛帖子时，可能恶意脚本会自动执行，因此，在做这些操作时一定要特别谨慎。建议在浏览器设置中关闭JavaScript。如果使用IE浏览器，将安全级别设置到“高”。具体可以参照浏览器安全的相关文章。

这里需要再次提醒的是，XSS攻击其实伴随着社会工程学的成功应用，需要增强安全意识，只信任值得信任的站点或内容。

十：下一代XSS会是怎样的？

随着AJAX（Asynchronous JavaScript and XML，异步JavaScript和XML）技术的普遍应用，XSS的攻击危害将被放大。使用AJAX的最大优点，就是可以不用更新整个页面来维护数据，Web应用可以更迅速地响应用户请求。AJAX会处理来自Web服务器及源自第三方的丰富信息，这对XSS攻击提供了良好的机会。AJAX应用架构会泄漏更多应用的细节，如函数和变量名称、函数参数及返回类型、数据类型及有效范围等。AJAX应用架构还有着较传统架构更多的应用输入，这就增加了可被攻击的点。