XSS攻击可用于获得对特权信息的访问,本文讲的就是应对它们的方法。美国国土安全部(Department of Homeland SecURIty)目前向联邦机构发出警告,要警惕一种特别具有攻击性的网络攻击形式——跨站脚本攻击(XSS)。
美国国土安全部警告说:
| “这种攻击允许攻击者冒充受害者进入网站,这些漏洞可能会允许攻击者不仅窃取cookie,还可以记录键盘敲击、捕捉屏幕截图、发现和收集网络信息,以及远程访问和控制受害者的设备。” |
Barracuda Networks高级安全研究员乔纳森•坦纳(JoNAThan Tanner)表示:
| “考虑到其数字资产的高价值,联邦机构的风险可能尤其大。有了联邦机构,就可以访问特权信息和特权基础设施,这对攻击者来说是非常有利可图的。无论是攻击投票系统,还是只是扰乱政府事务,这些都可能是非常强烈的攻击动机。” |
什么是跨站脚本攻击?
跨站脚本攻击包括恶意参与者通过网站插入秘密代码来针对受害者,CrowdStrike情报部门高级副总裁亚当•迈耶斯(Adam Meyers)表示:“这种攻击有几种方式,但基本上攻击者会向网站数据库注入恶意脚本,让浏览该网站浏览器的用户执行该脚本。”
作为一种客户端代码注入攻击,XSS允许攻击者通过受害者的web浏览器执行恶意操作。政府机构的web页面或web应用程序本质上成为了传播恶意脚本的工具。当受害者访问web页面或web应用程序时,代码就会被执行。
跨站脚本攻击是如何发生的?
尽管存在几种形式的XSS攻击,但所有攻击的结果本质上都是一样的:在用户的浏览器中执行恶意代码。
通常,当用户与web应用程序或网站交互时,数据会在客户端和网站或应用程序前端之间来回发送。其中可能大多是无害的数据,可随意浏览,或者应用程序中可能有某些页面或输入从用户那里收集数据。
XSS利用这些输入插入其恶意指令,就拿一个简单的博客或论坛来说吧。一般来说,作者会在网站上发布一篇博文,其他用户可以对其进行评论。这些评论是通过一个带有提交按钮的自由格式的文本框收集的。
在后台,应用程序正在从这些输入字段中收集数据:姓名、电子邮件地址、评论。那是什么阻止人们在文本框中放入其他东西并传播回web应用程序?可能什么都没有。在这种情况下,可以利用站点本身来执行跨站脚本攻击。
什么是Cookie窃取?
Cookie窃取是跨站脚本攻击工具库中的一种工具,它利用存储在用户Web浏览器缓存中的信息来识别特定连接或会话中的用户。
如果攻击者可以窃取用户的cookie,那么攻击者就可以冒充终端用户,在XSS漏洞中,如果攻击者可以窃取用户的cookie,就可以变成用户或者冒充用户。攻击者可以更改用户的密码、更改用户的备份邮箱,从而接管整个账户。
这样的攻击可能允许恶意攻击者获取秘钥来窃取用户名和密码。如果该用户拥有政府网络的管理证书,潜在的危害可能呈指数级上升。
XSS攻击与跨站请求伪造攻击的区别?
跨站请求伪造攻击是XSS方法的变体,它迫使终端用户执行不希望的操作。例如,攻击者可能诱骗web应用程序的用户更改电子邮件地址或转移资金。
使用XSS,它攻击用户,改变页面显示内容或页面在浏览器中的呈现方式,准确的说,它利用了用户对网站的信任。
在跨站请求伪造中,它伪装成是用户,以利用web 服务器 对用户的信任。如果用户对web页面进行身份验证,服务器就知道你已登录。然后,攻击者使用该令牌代表用户发出请求,通常是在他们不知情的情况下,他们可以更改用户可能更改的任何内容。
如何检测跨站脚本攻击
众所周知,XSS攻击很难被检测到,因为浏览器无法区分合法和非法行为。
只有在受到攻击后,研究人员蔡可以对代码进行漏洞扫描,以确保没有遗漏任何东西。目前有许多免费和付费资源可以执行此操作,以寻找这些特定类型的攻击或可能容易受到此类攻击的领域。
Web应用程序过滤工具也提供了一些保护,当服务器检测到攻击的有效载荷时,就是检测正在进行中的攻击的良好机制。Web应用程序过滤器将寻找具有特定上下文的请求,这些请求反映了XSS攻击。这可以归结为异常检测,研究人员也可以通过一个集成了检测威胁的日志产品来实现。
不过,专家表示,总体而言,防御XSS攻击的最佳方法是预防而不是检测。
跨站脚本预防技巧
确保你的浏览器已打补丁,确保你在完成所做的工作后退出站点。这确保了cookie不再有效,请谨慎考虑您访问的网站。另一个好的策略是使用多个浏览器:将一个用于受信任的站点,将另一个用于不受信任的站点。
从较高的层次上来说,可以考虑其开发流程,构建安全措施来保护应用程序和网站免受此类攻击。XSS很容易被预防,但是如果没有安全原则作为开发设计的基础,那么事后使用安全保护措施时,它就会被忽略。
最简单的方法是安装过滤器,当用户添加输入时,使其合理,比如电话号码应该是电话号码,日期应该是日期,而不是一段Java脚本。请确保如果你的应用程序要求输入名字,那么该名字就不应是活动内容,并在将其显示给用户之前对其进行编码。这样,攻击者就无法利用纯文本发起攻击了。不过这么高级的方法在很大程度上取决于开发人员的技能水平。
服务器被攻击了要怎么防?
1.切断网络
所有的攻击都来自于网络,因此,在得知系统正遭受黑客的攻击后,首先要做的就是断开服务器的网络连接,这样除了能切断攻击源之外,也能保护服务器所在网络的其他主机。
2.查找攻击源
可以通过分析系统日志或登录日志文件,查看可疑信息,同时也要查看系统都打开了哪些端口,运行哪些进程,并通过这些进程分析哪些是可疑的程序。 这个过程要根据经验和综合判断能力进行追查和分析。 下面的章节会详细介绍这个过程的处理思路。
3.分析入侵原因和途径
既然系统遭到入侵,那么原因是多方面的,可能是系统漏洞,也可能是程序漏洞,一定要查清楚是哪个原因导致的,并且还要查清楚遭到攻击的途径,找到攻击源,因为只有知道了遭受攻击的原因和途径,才能删除攻击源同时进行漏洞的修复。
4.备份用户数据
在服务器遭受攻击后,需要立刻备份服务器上的用户数据,同时也要查看这些数据中是否隐藏着攻击源。 如果攻击源在用户数据中,一定要彻底删除,然后将用户数据备份到一个安全的地方。
5.重新安装系统
永远不要认为自己能彻底清除攻击源,因为没有人能比黑客更了解攻击程序,在服务器遭到攻击后,最安全也最简单的方法就是重新安装系统,因为大部分攻击程序都会依附在系统文件或者内核中,所以重新安装系统才能彻底清除攻击源。
6.修复程序或系统漏洞
在发现系统漏洞或者应用程序漏洞后,首先要做的就是修复系统漏洞或者更改程序bug,因为只有将程序的漏洞修复完毕才能正式在服务器上运行。
7.恢复数据和连接网络
将备份的数据重新复制到新安装的服务器上,然后开启服务,最后将服务器开启网络连接,对外提供服务。以上就是bluehost中文站给您介绍的服务器被攻击了要怎么防的问题
怎么看出钓鱼网站啊
网络钓鱼伎俩不外乎下面几种: URL欺骗最普遍 刘慧宇老师说,URL欺骗是网络钓鱼最普遍的一种形式,即通过一定的技术手段构建虚假的URL地址,给用户造成错觉以为是在正确的网站上。 目前常见的构建虚假URL的方式有三种。 1、显示文字和链接地址不同 例子:网络 以上代码的作用是使得用户在网页或邮件中看到显示的是“网络”,实际上是链接到Google的网站上。 识别这类欺骗还是比较简单的,只要将鼠标移动到链接上,就可以在状态栏中看到实际的链接地址。 2、把两个URL和一个表格插入到HTML的href标记中 例子:Google 这类欺骗很难识别,你在网页中看到的网址是Google,即使你把鼠标移动到链接上,在状态栏上看起来依然链接到www.google.com的网站上,可是一旦你单击该链接你才发现,你链接到的是网络的站点。 用户在上网过程中要时常注意地址栏上的URL变化,一旦发现地址栏上的域名发生变化就要提高警惕,只有这样才能有效避免被钓。 3、利用IE的语法错误 例子:网络 在许多没有打过补丁的计算机中,如果把URL地址写成“http://www.baidu.com@www.redhat.com/”或者“http://www.baidu.com@/”,通过链接栏和地址栏都将看到你链接的是http://www.baidu.com,可实际上显示的页面内容是http://www.redhat.com,很难想像用户遇到这样的链接会不上当。 目前用户能做的就是尽快地给升级系统或打上补丁。 利用跨站脚本漏洞窃取信息 所谓的跨站脚本就是攻击者利用合法网站服务器程序上的漏洞,在站点的某些网页中插入危险的HTML代码,窃取用户信息。 克隆网站成骗钱捷径 由于制作一个网站的成本很低,造假者使用假身份证花几百元很容易申请到一个域名,并租到服务器空间。 1、URL地址克隆 使用和真实网址非常相似的域名,如:中国农业银行的互联网地址是“www..cn”、“easyabc..cn”、“www.abc.com”、“www.e.com”。 近日出现的www..cn(该网站已被查封)和www..cn只有一字之差,然而却是天壤之别。 2、页面形式内容克隆 在假冒网站上使用正规网站的LOGO、图表、新闻内容和链接,惟一区别之处是输入的账号的位置,一旦用户登陆网站,很难通过一般的常识来区别哪个是正规的网站,哪个是假冒网站。 做好预防避免上当 其实最好的自我保护方式不需要多少技术,可从链接来源和使用场合等方面来预防。 1、链接来源 1) 对于银行发来的手机短信,应认真核实短信的来源,如涉及到账号问题要和银行进行电话确认。 2) 对要求重新输入账号信息,否则将停掉信用卡账号之类的邮件不予理睬。 3) 不要回复或者点击邮件的链接,如果你想核实电子邮件的信息,可以使用电话联系。 4) 若想访问某个公司的网站,使用浏览器直接访问,输入网址前,有必要确认网址的来源。 点击邮件中的链接、短信即时通信工具如QQ、MSN都是不可取的。 5)如果一个网址中含有“@”符号,应该意识到,一般网址是完全没有必要使用“@”符号的,因此不要使用这个网址。 2、网上银行安全使用技巧 一个简便的方法可帮你安全地使用网上银行,现以中国工商银行的网站为例进行介绍。 进入网上银行后,在看到输入框时,不要急于输入信息,此时要检查IE是否启用加密链接(看看是不是有小锁的图标),并检查证书是否有效(双击小锁图标,打开“证书”界面,查看其有效期),最好还要检查证书是否与地址栏的地址相匹配(在“证书”界面中选择“证书路径”,并查看“证书路径”最后一项是不是与地址栏中的地址一致)。 如果其中一项不符合,那么就要小心了。
jsp 如何 xss 防范
1、antisamy插件防止XSS跨站脚本攻击,很简单,很方便,建议参考。 2、写一个Filter,对产生跨站的关键字进行过滤。
发表评论