det365和万博

佛山市政府机构行业某公司存在【XSS跨站脚本攻击】类型漏洞

一、漏洞定义

跨站脚本攻击(也称为XSS)指利用网站漏洞从用户那里恶意盗取信息。

二、常见方式:

1、持久型跨站:最直接的危害类型,跨站代码存储在服务器(数据库)

2、非持久型跨站:反射型跨站脚本漏洞,最普遍的类型。用户访问服务器-跨站链接-返回跨站代码。

3、DOM跨站(DOM XSS):DOM(document object model文档对象模型),客户端脚本处理逻辑导致的安全问题。

三、可能造成的危害:

为了搜集用户信息,攻击者通常会在有漏洞的程序中插入JavaScript、VBScript、ActiveX或Flash以欺骗用户。一旦得手,他们可以盗取用户帐户,修改用户设置,盗取/污染cookie,做虚假广告等。

四、示例:

某公司病毒”攻击事件

回顾:

2011年6月28日晚,某公司出现了一次比较大的XSS攻击事件。大量用户自动发送诸如:“xxx事件的一些未注意到的细节”,“xxx中穿帮的地方”,“让女人心动的100句诗歌”,“3D肉团团高清普通话版种子”,“这是传说中的神仙眷侣啊”,“惊爆!xxx艳照真流出了”等等微博和私信,并自动关注一位名为hellosamy的用户。

事件的经过线索如下:

20:14,开始有大量认证用户中招转发蠕虫

20:30,某网站中的病毒页面无法访问

20:32,某网站产品中hellosamy用户无法访问

21:02,某网站产品漏洞修补完毕

五、安全建议:

从网站开发者角度,防护XSS攻击:

1、输入验证:某个数据被接受为可被显示或存储之前,使用标准输入验证机制,验证所有输入数据的长度、类型、语法以及业务规则。

2、输出编码:数据输出前,确保用户提交的数据已被正确进行entity编码,建议对所有字符进行编码而不仅局限于某个子集。

3、明确指定输出的编码方式:不要允许攻击者为你的用户选择编码方式(如ISO 8859-1或UTF 8)。

4、注意黑名单验证方式的局限性:仅仅查找或替换一些字符(如"<"">"或类似"script"的关键字),很容易被XSS变种攻击绕过验证机制。

5、警惕规范化错误:验证输入之前,必须进行解码及规范化以符合应用程序当前的内部表示方法。请确定应用程序对同一输入不做两次解码。

从网站用户角度,防护XSS攻击

1、使用浏览器,将安全级别设置到“高”

2、安装使用安全软件

3、增强安全意识,只信任值得信任的站点或内容

请高度重视网站安全工作,对网站进行全面检测、整改,有关整改情况及时反馈同级公安机关网安部门。

如需技术协助,请登录平台获取专业技术人员支持

指导单位
广东省公安厅网络警察总队 广东省信息安全等级保护协调小组办公室