面对跨站脚本攻击XSS的安全防御建议

　　XSS攻击作为Web业务的最大威胁之一，不仅危害Web业务本身，对访问Web业务的用户也会带来直接的影响，如何防范和阻止XSS攻击，保障Web站点的业务安全呢？首先我们就要了解什么是XSS攻击。

　　一 什么是XSS攻击：

　　XSS的全称是Cross Site Scripting，意思是跨站脚本。这第一个单词是Cross，为什么缩写成X呢?因为CSS是层叠样式表的缩写(Cascading Style Sheets)的缩写，同时Cross发音和X相似，为了避免混淆用X来代替,缩写成XSS。它指的是恶意攻击者往Web页面里插入恶意html代码，当用户浏览该页之时，嵌入其中Web里面的html代码会被执行，从而达到恶意用户的特殊目的。XSS属于被动式的攻击，因为其被动且不好利用，所以许多人常呼略其危害性。

　　二 XSS的攻击方式：

　　跨站攻击有多种方式，由HTML语言允许使用脚本进行简单交互，入侵者便通过技术手段在某个页面里插入一个恶意HTML代码——例如记录论坛保存的用户信息(Cookie)，由于Cookie保存了完整的用户名和密码资料，用户就会遭受安全损失。当然，攻击者有时也会在网页中加入一些以.JS或.VBS为后尾名的代码时，在我们浏览时，同样我们也会被攻击到。

　　三 XSS攻击的危害：

　　1、盗取各类用户帐号，如机器登录帐号、用户网银帐号、各类管理员帐号

　　2、控制企业数据，包括读取、篡改、添加、删除企业敏感数据的能力

　　3、盗窃企业重要的具有商业价值的资料

　　4、非法转账

　　5、强制发送电子邮件

　　6、网站挂马

　　7、控制受害者机器向其它网站发起攻击

　　四 XSS攻击漏洞：

　　XSS攻击分成两类，一类是来自内部的攻击，主要指的是利用程序自身的漏洞，构造跨站语句，如:dvbbs的showerror.asp存在的跨站漏洞。另一类则是来来自外部的攻击，主要指的自己构造XSS跨站漏洞网页或者寻找非目标机以外的有跨站漏洞的网页。如当我们要渗透一个站点，我们自己构造一个有跨站漏洞的网页，然后构造跨站语句，通过结合其它技术，如社会工程学等，欺骗目标服务器的管理员打开。

　　五 XSS的基本防御技术：

　　1、基于特征的防御：XSS漏洞和著名的SQL注入漏洞一样，都是利用了Web页面的编写不完善，所以每一个漏洞所利用和针对的弱点都不尽相同。这就给XSS漏洞防御带来了困难：不可能以单一特征来概括所有XSS攻击。传统XSS防御多采用特征匹配方式，在所有提交的信息中都进行匹配检查。对于这种类型的XSS攻击，采用的模式匹配方法一般会需要对“javascript”这个关键字进行检索，一旦发现提交信息中包含“javascript”，就认定为XSS攻击。这种检测方法的缺陷显而易见：骇客可以通过插入字符或完全编码的方式躲避检测：

　　躲避方法1)在javascript中加入多个tab键，得到

　　< IMG SRC="jav ascript:alert('XSS');" >;

　　躲避方法2) 在javascript中加入&#x09编码字符，得到

　　< IMG SRC="javascript:alert('XSS');" >;

　　躲避方法3) 在javascript中加入字符，得到

　　< IMG SRC="javascript:alert('XSS');" >;

　　躲避方法4)在javascript中的每个字符间加入回车换行符，得到

　　< IMG SRC="j\r\na\r\nv\r\n\r\na\r\ns\r\nc\r\nr\r\ni\r\np\r\nt\r\n:alert('XSS');" >

　　躲避方法5)对"javascript:alert('XSS')"采用完全编码，得到

　　< IMGSRC=&#x6A&#x61&#x76&#x61&#x73&#x63&#x72&#x69&#x70&#x

　　74&#x3A&#x61&#x6C&#x65&#x72&#x74&#x28&#x27&#x58&#x53&#x53

　　&#x27&#x29 >

　　上述方法都可以很容易的躲避基于特征的检测。而除了会有大量的漏报外，基于特征的还存在大量的误报可能：在上面的例子中，对"http://www.xxx.com/javascript/kkk.asp?id=2345"这样一个URL，由于包含了关键字“javascript”，也将会触发报警。

　　2、基于代码修改的防御：和SQL注入防御一样，XSS攻击也是利用了Web页面的编写疏忽，所以还有一种方法就是从Web应用开发的角度来避免：

　　步骤1、对所有用户提交内容进行可靠的输入验证，包括对URL、查询关键字、HTTP头、POST数据等，仅接受指定长度范围内、采用适当格式、采用所预期的字符的内容提交，对其他的一律过滤。

　　步骤2、实现Session标记(session tokens)、CAPTCHA系统或者HTTP引用头检查，以防功能被第三方网站所执行。

　　步骤3、确认接收的的内容被妥善的规范化，仅包含最小的、安全的Tag(没有javascript)，去掉任何对远程内容的引用(尤其是样式表和javascript)，使用HTTP only的cookie。

　　当然，如上操作将会降低Web业务系统的可用性，用户仅能输入少量的制定字符，人与系统间的交互被降到极致，仅适用于信息发布型站点。并且考虑到很少有Web编码人员受过正规的安全培训，很难做到完全避免页面中的XSS漏洞。

　　六 防范建议：

　　XSS攻击以及的可怕性及灵活性深受黑客的喜爱。针对XSS攻击，编者给普通浏览网页用户及WEB应用开发者给出以下的安全建议：

　　web用户

　　1、在电子邮件或者即时通讯软件中点击链接时需要格外小心：留心可疑的过长链接，尤其是它们看上去包含了HTML代码。如果对其产生怀疑，可以在浏览器地址栏中手工输入域名，而后通过该页面中的链接浏览你所要的信息。

　　2、对于XSS漏洞，没有哪种web浏览器具有明显的安全优势。也就是Firefox也同样不安全。为了获得更多的安全性，可以安装一些浏览器插件：比如Firefox的NoScript或者Netcraft工具条。

　　3、世界上没有“100%的有效”。尽量避免访问有问题的站点：比如提供hack信息和工具、破解软件、成人照片的网站。这些类型的网站会利用浏览器漏洞并危害操作系统。

　　web应用开发者

　　1、对于开发者，首先应该把精力放到对所有用户提交内容进行可靠的输入验证上。这些提交内容包括URL、查询关键字、http头、post数据等。只接受在你所规定长度范围内、采用适当格式、你所希望的字符。阻塞、过滤或者忽略其它的任何东西。

　　2、保护所有敏感的功能，以防被bots自动化或者被第三方网站所执行。实现session标记(session tokens)、CAPTCHA系统或者HTTP引用头检查。

　　3、如果你的web应用必须支持用户提供的HTML，那么应用的安全性将受到灾难性的下滑。但是你还是可以做一些事来保护web站点：确认你接收的HTML内容被妥善地格式化，仅包含最小化的、安全的tag(绝对没有JavaScript)，去掉任何对远程内容的引用(尤其是样式表和JavaScript)。为了更多的安全，请使用httpOnly的cookie。