登录摘要
本文基于一起“跨站脚本”漏洞事件,论述如何做好网站的安全漏洞防范,防止网站管理员及用户信息被窃取,提升网站的防护能力。 本文为节选 全文刊登于2020年第7期《广播电视网络》 原标题:基于“跨站脚本”漏洞谈网络安全问题防范 国家广播电视总局广播电视科学研究院 孙海波 北京市人民防空办公室 李进国 计算机网络已经成为人们工作和生活中必不可少的工具,尤其近期受新冠肺炎疫情的影响,很多人居家远程办公,在网上购买生活必需品,人们已经离不开计算机网络。然而网络在带来方便的同时,也存在一定的安全隐患,例如用户个人信息可能会被黑客窃取,甚至可能发生计算机网络攻击事件。 1 事件经过 笔者近年从事对一些单位门户网站网络安全漏洞的扫描工作。2019年12月,笔者发现某网站存在网络安全漏洞,及时向网站所属单位进行了通报,漏洞详细情况如下:漏洞名称为跨站脚本(XSS),漏洞数量1个,漏洞等级为高危。 漏洞描述 一种攻击者利用网站程序对用户输入过滤不足的缺陷,输入可以显示在页面上并对其他用户造成影响的HTML代码,从而盗取用户资料、利用用户身份进行某种动作或者对访问者进行病毒侵害的攻击方式。 对该漏洞的验证过程如下 (1)构造跨站脚本攻击URL代码在网页地址栏输入图2所示的代码后,在网站相应页面出现弹框报警,显示出“23”字样。 (2)在页面上输入文字将漏洞情况通报网站所属单位,该单位进行了一些修复,过滤掉“alert弹窗”。 2 漏洞危害 跨站脚本漏洞在每年的OWASP Top10(最新十大Web安全风险)中一直名列前茅,可被用于窃取隐私、钓鱼欺骗、偷取密码、传播恶意代码等攻击行为。 恶意攻击者可以利用跨站脚本漏洞在网站中插入任意代码,只要是脚本代码能够实现的功能,跨站脚本攻击都能够做到。 3 防范措施 跨站脚本攻击按形式可分为三种,即反射性XSS攻击、存贮性XSS攻击以及基于DOM的XSS攻击。其过程简单来说,就是恶意攻击者在Web页面里插入恶意脚本代码,用户浏览该网页时,嵌入Web页面的脚本代码就会被执行,进而达到攻击目的。跨站脚本攻击相对于其他网络攻击而言更隐蔽。 做好防范,须做到以下几点: (1)对传入参数进行有效性检测 (2)保护用户Cookie信息 (3)限制输入字符的长度 (4)检查用户提交信息中的链接 (5)对用户上传文件进行检索限制 (6)加强网站内部人员安全管理 网络安全问题并不遥远,就在我们身边,因此提升网站相关人员安全意识、工作责任心、安全防护技术能力尤为重要。此次网站跨站脚本漏洞,从发现到修复用了两周时间,并不困难。然而跨站脚本攻击相对其他攻击手段更加隐蔽和多变,与网站业务流程、功能代码实现都有关系,不存在一劳永逸的解决方案。防范跨站脚本攻击以及其他网站安全漏洞,往往要牺牲网站的便利性,如何在安全和便利之间寻求平衡也是网站建设的一大焦点议题。
