潮人地東莞seo博客小編下面跟大家分享關于seo推廣技巧之:【轉載】跨站腳本攻擊:如何防止XSS漏洞?等問題,希望seo專員在做seo優化的過程中有所幫助,內容僅供參考。
好久沒有和朋友們分享關于網站安全防護方面的內容了,今天潮人地東莞seo博客轉載一篇來自百度安全指數官網發布的關于XSS漏洞的內容,XSS攻擊可用于獲得對特權信息的訪問,本文講的就是應對它們的方法。美國國土安全部(Department of Homeland Security)目前向聯邦機構網易推廣seo發出警告,要警惕一種特別具有攻擊性的網絡攻擊形式——跨站腳本攻擊(XSS)。
美國國土安全部警告說:
seo博客相關推薦閱讀:seo技術:關鍵詞優化排名如何做(seo關鍵詞如何操作)
“這種攻擊允許攻擊者冒充受害者進入網站,這些漏洞可能會允許攻擊者不僅竊取cookie,還可以記錄鍵盤敲擊、捕捉屏幕截圖、發現和收集網絡信息,以及遠程訪問和控制受害者的設備。”
Barracuda Networks高級安全研究員喬納森?坦納(Jonathan Tanner)表示:
“考慮到其數字資產的高價值,聯邦機構的風險可能尤其大。有了聯邦機構,就可以訪問特權信息和特權基礎設施,這對攻擊者來說是非常有利可圖的。無論是攻擊投票系統,還是只是擾亂政府事務,這些都可能是非常強烈的攻擊動機。”
什么是跨站腳本攻擊?
跨站腳本攻擊包括惡意參與者通過網站插入秘密代碼來針對受害者,CrowdStrike情報部門高級副總裁亞當?邁耶斯(Adam Meyers)表示:“這種攻擊有幾種方式,但基本上攻擊者會向網站數據庫注入惡意腳本,讓瀏覽該網站瀏覽器的用戶執行該腳本。”
作為一種客戶端代碼注入攻擊,XSS允許攻擊者通過受害者的web瀏覽器執行惡意操作。政府機構的web頁面或web應用程序本質上成為了傳播惡意腳本的工具。當受害者訪問web頁面或web應用程序時,代碼就會被執行。
跨站腳本攻擊是如何發生的?
盡管存在幾種形式的XSS攻擊,但所有攻擊的結果本質上都是一樣的:在用戶的瀏覽器中執行惡意代碼。
通常,當用戶與web應用程序或網站交互時,數據會在客戶端和網站或應用程序前端之間來回發送。其中可能大多是無害的數據,可隨意瀏覽,或者應用程序中可能有某些頁面或輸入從用戶那里收集數據。
XSS利用這些輸入插入其惡意指令,就拿一個簡單的博客或論壇來說吧。一般來說,作者會在網站上發布一篇博文,其他用戶可以對其進行評論。這些評論是通過一個帶有提交按鈕的自由格式的文本框收集的。
在后臺,應用程序正在從這些輸入字段中收集數據:姓名、電子郵件地址、評論。那是什么阻止人們在文本框中放入其他東西并傳播回web應用程序?可能什么都沒有。在這種情況下,可以利用站點本身來執行跨站腳本攻擊。
什么是Cookie竊取?
Cookie竊取是跨站腳本攻擊工具庫中的一種工具,它利用存儲在用戶Web瀏覽器緩存中的信息來識別特定連接或會話中的用戶。
如果攻擊者可以竊取用戶的cookie,那么攻擊者就可以冒充終端用戶,在XSS漏洞中,如果攻擊者可以竊取用戶的cookie,就可以變成用戶或者冒充用戶。攻擊者可以更改用戶的密碼、更改用戶的備份郵箱,從而接管整個賬戶。
這樣的攻擊可能允許惡意攻擊者獲取秘鑰來竊取用戶名和密碼。如果該用戶擁有政府網絡的管理證書,潛在的危害可能呈指數級上升。
XSS攻擊與跨站請求偽造攻擊的區別?
跨站請求偽造攻擊是XSS方法的變體,它迫使終端用戶執行不希望的操作。例如,攻擊者可能誘騙web應用程序的用戶更改電子郵件地址或轉移資金。
使用XSS,它攻擊用戶,改變頁面顯示內容或頁面在瀏覽器中的呈現方式,準確的說,它利用了用戶對網站的信任。
在跨站請求偽造中,它偽裝成是用戶,以利用web服務器對用戶的信任。如果用戶對web頁面進行身份驗證,服務器就知道你已登錄。然后,攻擊者使用該令牌代表用戶發出請求,通常是在他們不知情的情況下,他們可以更改用戶可能更改的任何內容。
如何檢測跨站腳本攻擊
眾所周知,XSS攻擊很難被檢測到,因為瀏覽器無法區分合法和非法行為。
只有在受到攻擊后,研究人員蔡可以對代碼進行漏洞掃描,以確保沒有遺漏任何東西。目前有許多免費和付費資源可以執行此操作,以尋找這些特定類型的攻擊或可能容易受到此類攻擊的領域。
Web應用程序過濾工具也提供了一些保護,當服務器檢測到攻擊的有效載荷時,就是檢測正在進行中的攻擊的良好機制。Web應用程序過濾器將尋找具有特定上下文的請求,這些請求反映了XSS攻擊。這可以歸seo推廣主要目的結為異常檢測,研究人員也可以通過一個集成了檢測威脅的日志產品來實現。
不過,專家表示,總體而言,防御XSS攻擊的最佳方法是預防而不是檢測。
跨站腳本預防技巧
確保你的瀏覽器已打補丁,確保你在完成所做的工作后退出站點。這確保了cookie不再有效,請謹慎考紅橋區seo優化網絡推廣慮您訪問的網站。另一個好的策略是使用多個瀏覽器:將一個用于受信任的站點,將另一個用于不受信任的站點。
從較高的層次上來說,可以考慮其開發流程,構建安全措施來保護應用程序和網站免受此類攻擊。XSS很容易被預防,但是如果沒有安全原則作為開發設計的基礎,那么事后使用安全保護措施時,它就會被忽略。
最簡單的方法是安裝過濾器,當用戶添加輸入時,使其合理,比如電話號碼應該是電話號碼,日期應該是日期,而不是一段Java腳本。請確保如果你的應用程序要求輸入名字,那么該名字就不應是活動內容,并在將其顯示給用戶之前對其進行編碼。這樣,攻擊者就無法利用純文本發起攻擊了。不過這么高級的方法在很大程度上取決于開發人員的技能水平。
本文轉載自:嘶吼
作者:xiaohui
原文地址:https://www.4hou.com/posts/mGJn
本文翻譯自:https://fedtechmagazine.com/article/2020/10/cross-site-scripting-attacks-how-prevent-xss-vulnerabilities-perfcon
百度安全指數原文鏈接:https://anquan.baidu.com/article/1264
以上是潮人地東莞seo博客跟大家分享關于seo推廣技巧之:【轉載】跨站腳本攻擊:如何防止XSS漏洞?等問題,希望能對大家有所幫助,若有不足之處,請諒解,我們大家可以一起討論關于網站seo優化排名的技巧,一起學習,以上內容僅供參考。
