【TechTarget中国原创】问:我听说的跨站点脚本攻击(XSS )是目前最高等级的安全风险。是否有企业安全专业人员可以使用的新的策略来防御它呢?
答:跨站点脚本攻击(简称XSS,这样我们就不会混淆它们与层叠样式表)是目前的主要攻击媒介。它们攻击从用户那里得到信息的脆弱网站,而这些网站把这些数据返回到浏览器。XSS攻击发生时,恶意人士在其他用户的浏览器中运行一个恶意的浏览器脚本。然后,攻击者可以窃取的cookies -或者甚至使用脆弱的电子商务网站-使浏览器忙于处理问题,使它像是受害者的浏览器。我们在Intelguardians的渗透测试工作中,所测试的Web应用大约有80%含有XSS漏洞。
企业可以通过仔细过滤用户输入和输出,消除和脚本相关的=<>’"();&等字符,防范的XSS漏洞。在过去,大多数机构的重点是控制和过滤输入信息。当然这是一个好主意。攻击者仍然通过不受保护的输入信息流渗透到应用中。一些诱人的目标,包括磁条纹、电子数据交换的资料和纸质邮件,通过光学字符识别获得扫描和转换。如果Web应用开始发送攻击者的恶意浏览器脚本,用户就处于危险之中。为避免这种情况,需要过滤应用输出流量中的恶意脚本。当然,你也应该过滤合法的浏览器脚本,这些浏览器可以被用于并允许他们送到浏览器。但是,特定的数据牵引功能绝不能有浏览器脚本。在这些情况下,过滤器应该在最终页面制作并返回到浏览器之前配置。