【web安全】Xss Exploits and Defense翻译4

快速回顾

XSS的历史

Ø XSS很早就在网上存在。

Ø 1999年，Georgi Guninski和David Ross联合发表了第一篇关于XSS威胁标题为“脚本注入”的论文。

Ø 2005年，第一个广为人知的XSS蠕虫病毒攻击流行社交网站MySpace。

Web应用安全

Ø Web互联网上有超过800万网民，100万个网站，每天交易在网上交易数十亿美元。

Ø 各种基于web软件的安全统称为web 应用安全。

Ø Web的流量经常是被防火墙允许的。

Ø XSS尽管是web应用安全的一小部分领域，但是却代表着最大的威胁。

XML 和 AJAX介绍

Ø AJAX是一系列技术用来提高web应用程序的用户体验，提供更好的可用性，和加快访问的速度。

Ø AJAX的核心组件是XMLHttpRequest对象，通过浏览器提供在请求和回复上更强大的控制。

Ø DOM是定义怎么解析XML树结构的一个W3C标准。

常见问题（FAQ）

下面的常见问答是用来帮助你更好地理解本章的概念。如果对本章有任何疑问可以浏览www.syngress.com/solutions然后点击“Ask the Author”表单。

Q：HTML注入和XSS有什么区别？

A：他们确切地说是相同的。在某种情况下，攻击者注入有效的HTML标记，然而在其他情况下，攻击者不仅注入HTML标记而且尝试执行一个脚本。

Q：有没有一些防病毒软件可以防御XSS攻击？

A：没有。防病毒软件防御病毒和恶意代码（可能由XSS漏洞产生）。一些防病毒软件可以检测恶意代码，但是他们不能防御XSS的发生。

Q：XSS蠕虫会在我系统上传播吗？

A：XSS蠕虫影响web应用程序，他们唯一能传播的路径就是利用XSS漏洞。但是，有很多浏览器的BUG可以导致入侵你的系统。在那种情况下，XSS蠕虫利用浏览器bug可以危害你的系统。

Q：XSS来攻击为危害我没有访问的在线帐号，是真的吗？

A：浏览器是你信任网络和不信任网络的中间件。每次你浏览一个网页，你悄悄下载脚本然后在浏览器中的另一个环境执行。这些脚本可以访问内部网络地址然后他们可以在内部网络传播。

Q：所有的AJAX应用都存在XSS攻击的漏洞？

A：尽管大多数的web应用有XSS问题，但是要理解的是，XSS是由客户端/服务端脚本对用户输入过滤不严格引起的。如果你遵循一个强安全实践，你可以预防XSS从过滤或者转义不希望的字符事件开始。