问:我听说的跨站点脚本攻击(XSS )是目前最高等级的安全风险。是否有企业安全专业人员可以使用的新的策略来防御它呢? 答:跨站点脚本攻击(简称XSS,这样我们就不会混淆它们与层叠样式表)是目前的主要攻击媒介。它们攻击从用户那里得到信息的脆弱网站,而这些网站把这些数据返回到浏览器。XSS攻击发生时,恶意人士在其他用户的浏览器中运行一个恶意的浏览器脚本。
然后,攻击者可以窃取的cookies -或者甚至使用脆弱的电子商务网站-使浏览器忙于处理问题,使它像是受害者的浏览器。我们在Intelguardians的渗透测试工作中,所测试的Web应用大约有80%含有XSS漏洞。 企业可以通过仔细过滤用……
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
问:我听说的跨站点脚本攻击(XSS )是目前最高等级的安全风险。是否有企业安全专业人员可以使用的新的策略来防御它呢?
答:跨站点脚本攻击(简称XSS,这样我们就不会混淆它们与层叠样式表)是目前的主要攻击媒介。它们攻击从用户那里得到信息的脆弱网站,而这些网站把这些数据返回到浏览器。XSS攻击发生时,恶意人士在其他用户的浏览器中运行一个恶意的浏览器脚本。然后,攻击者可以窃取的cookies -或者甚至使用脆弱的电子商务网站-使浏览器忙于处理问题,使它像是受害者的浏览器。我们在Intelguardians的渗透测试工作中,所测试的Web应用大约有80%含有XSS漏洞。
企业可以通过仔细过滤用户输入和输出,消除和脚本相关的=<>’"();&等字符,防范的XSS漏洞。在过去,大多数机构的重点是控制和过滤输入信息。当然这是一个好主意。攻击者仍然通过不受保护的输入信息流渗透到应用中。一些诱人的目标,包括磁条纹、电子数据交换的资料和纸质邮件,通过光学字符识别获得扫描和转换。如果Web应用开始发送攻击者的恶意浏览器脚本,用户就处于危险之中。为避免这种情况,需要过滤应用输出流量中的恶意脚本。当然,你也应该过滤合法的浏览器脚本,这些浏览器可以被用于并允许他们送到浏览器。但是,特定的数据牵引功能绝不能有浏览器脚本。在这些情况下,过滤器应该在最终页面制作并返回到浏览器之前配置。
作者
相关推荐
-
XSS与XSSI区别何在?
跨站脚本(XSS)和跨站脚本包含(XSSI)之间的区别是什么?防御方法有什么不同?在本文中,专家Michael Cobb将就此进行详细探讨。
-
调查显示:2013年Web应用安全修复平均需要11天
根据瑞士信息安全公司High-Tech Bridge的最新“WEB应用安全趋势”报告,2012年为一个关键的安全漏洞推出补丁的平均时间为17天,2013年缩短到11天。
-
2012年浏览器安全四大发展趋势
日前发布的《2011年浏览器安全及发展趋势报告》指出,2012年系统级防护将被浏览器行业充分利用,浏览器安全发展或将加速行业洗牌。
-
浅析新浪微博Web蠕虫事件
近日,新浪出现了一次比较大的XSS(跨站脚本)漏洞攻击。此次,新浪web蠕虫事件,虽然仅限于滥发含毒私信和连接,但是并不是所有的web蠕虫都如此“善良”。