XSS攻击可用于获得对特权信息的访问,本文讲的就是应对它们的方法。美国国土安全部(Department of Homeland Security)目前向联邦机构发出警告,要警惕一种特别具有攻击性的网络攻击形式——跨站脚本攻击(XSS)。
美国国土安全部警告说:
| “这种攻击允许攻击者冒充受害者进入网站,这些漏洞可能会允许攻击者不仅窃取cookie,还可以记录键盘敲击、捕捉屏幕截图、发现和收集网络信息,以及远程访问和控制受害者的设备。” |
Barracuda Networks高级安全研究员乔纳森•坦纳(Jonathan Tanner)表示:
| “考虑到其数字资产的高价值,联邦机构的风险可能尤其大。有了联邦机构,就可以访问特权信息和特权基础设施,这对攻击者来说是非常有利可图的。无论是攻击投票系统,还是只是扰乱政府事务,这些都可能是非常强烈的攻击动机。” |
什么是跨站脚本攻击?
跨站脚本攻击包括恶意参与者通过网站插入秘密代码来针对受害者,CrowdStrike情报部门高级副总裁亚当•迈耶斯(Adam Meyers)表示:“这种攻击有几种方式,但基本上攻击者会向网站数据库注入恶意脚本,让浏览该网站浏览器的用户执行该脚本。”
作为一种客户端代码注入攻击,XSS允许攻击者通过受害者的web浏览器执行恶意操作。政府机构的web页面或web应用程序本质上成为了传播恶意脚本的工具。当受害者访问web页面或web应用程序时,代码就会被执行。
跨站脚本攻击是如何发生的?
尽管存在几种形式的XSS攻击,但所有攻击的结果本质上都是一样的:在用户的浏览器中执行恶意代码。
通常,当用户与web应用程序或网站交互时,数据会在客户端和网站或应用程序前端之间来回发送。其中可能大多是无害的数据,可随意浏览,或者应用程序中可能有某些页面或输入从用户那里收集数据。
XSS利用这些输入插入其恶意指令,就拿一个简单的博客或论坛来说吧。一般来说,作者会在网站上发布一篇博文,其他用户可以对其进行评论。这些评论是通过一个带有提交按钮的自由格式的文本框收集的。
在后台,应用程序正在从这些输入字段中收集数据:姓名、电子邮件地址、评论。那是什么阻止人们在文本框中放入其他东西并传播回web应用程序?可能什么都没有。在这种情况下,可以利用站点本身来执行跨站脚本攻击。
什么是Cookie窃取?
Cookie窃取是跨站脚本攻击工具库中的一种工具,它利用存储在用户Web浏览器缓存中的信息来识别特定连接或会话中的用户。
如果攻击者可以窃取用户的cookie,那么攻击者就可以冒充终端用户,在XSS漏洞中,如果攻击者可以窃取用户的cookie,就可以变成用户或者冒充用户。攻击者可以更改用户的密码、更改用户的备份邮箱,从而接管整个账户。
这样的攻击可能允许恶意攻击者获取秘钥来窃取用户名和密码。如果该用户拥有政府网络的管理证书,潜在的危害可能呈指数级上升。
XSS攻击与跨站请求伪造攻击的区别?
跨站请求伪造攻击是XSS方法的变体,它迫使终端用户执行不希望的操作。例如,攻击者可能诱骗web应用程序的用户更改电子邮件地址或转移资金。
使用XSS,它攻击用户,改变页面显示内容或页面在浏览器中的呈现方式,准确的说,它利用了用户对网站的信任。
在跨站请求伪造中,它伪装成是用户,以利用web服务器对用户的信任。如果用户对web页面进行身份验证,服务器就知道你已登录。然后,攻击者使用该令牌代表用户发出请求,通常是在他们不知情的情况下,他们可以更改用户可能更改的任何内容。
如何检测跨站脚本攻击
众所周知,XSS攻击很难被检测到,因为浏览器无法区分合法和非法行为。
只有在受到攻击后,研究人员蔡可以对代码进行漏洞扫描,以确保没有遗漏任何东西。目前有许多免费和付费资源可以执行此操作,以寻找这些特定类型的攻击或可能容易受到此类攻击的领域。
Web应用程序过滤工具也提供了一些保护,当服务器检测到攻击的有效载荷时,就是检测正在进行中的攻击的良好机制。Web应用程序过滤器将寻找具有特定上下文的请求,这些请求反映了XSS攻击。这可以归结为异常检测,研究人员也可以通过一个集成了检测威胁的日志产品来实现。
不过,专家表示,总体而言,防御XSS攻击的最佳方法是预防而不是检测。
跨站脚本预防技巧
确保你的浏览器已打补丁,确保你在完成所做的工作后退出站点。这确保了cookie不再有效,请谨慎考虑您访问的网站。另一个好的策略是使用多个浏览器:将一个用于受信任的站点,将另一个用于不受信任的站点。
从较高的层次上来说,可以考虑其开发流程,构建安全措施来保护应用程序和网站免受此类攻击。XSS很容易被预防,但是如果没有安全原则作为开发设计的基础,那么事后使用安全保护措施时,它就会被忽略。
最简单的方法是安装过滤器,当用户添加输入时,使其合理,比如电话号码应该是电话号码,日期应该是日期,而不是一段Java脚本。请确保如果你的应用程序要求输入名字,那么该名字就不应是活动内容,并在将其显示给用户之前对其进行编码。这样,攻击者就无法利用纯文本发起攻击了。不过这么高级的方法在很大程度上取决于开发人员的技能水平。
本文翻译自:
https://fedtechmagazine.com/article/2020/10/cross-site-scripting-attacks-how-prevent-xss-vulnerabilities-perfcon
