XSS 跨站腳本攻擊

XSS 就是指
Cross Site Script 跨站腳本攻擊
現在在網站資訊安全問題穩坐前兩名的位置
跟 SQL inject 都是非常有名的安全漏洞

在 HTML 有些部分會載入 JavaScript 的腳本
現在的網站大多強調使用者的互動、包括許多使用者可以輸入的欄位:留言板、討論區、查詢等等
因此給了更多 XSS 發揮的空間

例如:

 <iframe src="javascript:    ;"</script>

iframe 的 src 就是一個可能被插入惡意程式碼的位置

也可能把各種符號進行編碼直接放置網址裡
http://xxx.com/index.php?v=javascript%3ajavascript:document.location.href=’http://惡意網址&#8217;;%3b

就是把    <    >    :     給 編碼 然後把網址用 JavaScript 導入惡意網址

把網址放到公告、討論區、留言板、簽名檔、email、圖片裡面
各種釣魚引誘點擊連結

點擊執行 JavaScript 的惡意程式碼可能導致:

  • 加密連線失效
  • Cookie被截取
  • 使用者身份被假冒
  • 被導向惡意網站
  • 安裝惡意程式
  • 瀏覽器無法正常運作

這些攻擊主要針對網站的使用者而不是網站本身

防範的方法

  • 將 < > : % / () & 等符號過濾掉不給予輸出,像是php的htmlspeicalchars()
  • 限定輸入的長度,輸入的長度有限的話大部份的惡意程式都會被過濾掉

發表迴響

在下方填入你的資料或按右方圖示以社群網站登入:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / 變更 )

Twitter picture

You are commenting using your Twitter account. Log Out / 變更 )

Facebook照片

You are commenting using your Facebook account. Log Out / 變更 )

Google+ photo

You are commenting using your Google+ account. Log Out / 變更 )

連結到 %s