XSS攻击可用于获取特权信息的访问权限,本文将介绍如何应对它们。美国国土安全部目前向联邦机构发出警告,要求其警惕一种特别具有攻击性的网络攻击形式,称为跨站点脚本(XSS)。美国国土安全部警告说:“这种攻击允许攻击者冒充受害者进入网站,访问和控制受害者的设备。”BarracudaNetworks高级安全研究员JonathanTanner表示:“鉴于其数字资产的高价值,联邦机构可能尤其面临风险。有了联邦机构,访问特权信息和特权基础设施,这对攻击者来说可能是非常有利可图的。”无论是攻击投票系统,还是仅仅扰乱政府事务,这些都可能是非常强烈的攻击动机。”什么是跨站点脚本攻击?CrowdStrike情报高级副总裁AdamMeyers说,跨站点脚本攻击涉及恶意行为者通过网站插入密码以瞄准受害者:“有几种方法可以做到这一点,但基本上攻击者会在网站的数据库中注入恶意脚本,让浏览该网站的用户的浏览器执行该脚本。”作为一种客户端代码注入攻击,XSS允许攻击者通过受害者的web浏览器。政府机构的网页或web应用程序本质上成为分发恶意脚本的工具。当受害者访问网页或web应用程序时执行代码。跨站点脚本攻击是如何发生的?虽然有几种XSS攻击的形式,所有攻击的结果本质上是相同的:在用户的浏览器中执行恶意代码。通常,当用户与Web应用程序交互时离子或网站,数据在客户端和网站或应用程序前端之间来回发送。它可能大多是可以随意浏览的无害数据,或者应用程序中可能有某些页面或输入从用户那里收集数据。XSS使用这些输入来插入其恶意指令,让我们以一个简单的博客或论坛为例。通常,作者在网站上发布博客文章,其他用户可以对其发表评论。评论通过带有提交按钮的自由格式文本框收集。在后台,应用程序从这些输入字段收集数据:姓名、电子邮件地址、评论。那么是什么阻止人们将其他内容放入文本框中并传播回网络应用程序呢?可能什么都没有。在这种情况下,站点本身可以??被利用来执行跨站点脚本攻击。什么是偷饼干?Cookie窃取是跨站点脚本攻击武器库中的一种工具,它使用存储在用户Web浏览器缓存中的信息来识别特定连接或会话中的用户。如果攻击者可以窃取用户的cookie,则攻击者可以冒充最终用户。在XSS漏洞中,如果攻击者可以窃取用户的cookie,他就可以成为用户或冒充用户。攻击者可以更改用户的密码,更改用户的备份邮箱,并接管整个帐户。此类攻击可能允许恶意攻击者获取密钥以窃取用户名和密码。如果该用户拥有管理政府网络的凭据,则危害的可能性会成倍增加。XSS攻击和跨站请求伪造攻击有什么区别?跨站点请求伪造攻击是XSS方法的一种变体,它会强制最终用户执行不需要的操作。例如,攻击者可以诱骗Web应用程序的用户更改他们的电子邮件地址或转移资金。它利用XSS攻击用??户,改变页面显示的内容或页面在浏览器中的呈现方式,准确地说是利用用户对网站的信任。在跨站点请求伪造中,它伪装成用户以利用Web服务器对用户的信任。如果用户对网页进行身份验证,服务器就会知道您已登录。然后攻击者使用该令牌代表用户发出请求,通常是在他们不知情的情况下,允许他们更改用户可能已更改的任何内容。如何检测跨站脚本攻击众所周知,XSS攻击之所以难以检测,是因为浏览器无法区分合法行为和非法行为。只有在发起攻击后,研究员Cai才能对代码进行漏洞扫描,以确保没有遗漏任何内容。有许多免费和付费资源可用于执行此操作,寻找这些特定类型的攻击或可能容易受到此类攻击的区域。Web应用程序过滤工具还提供一些保护,并且是一种很好的机制,用于在服务器检测到攻击负载时检测正在进行的攻击。Web应用程序过滤器将查找具有反映XSS攻击的特定上下文的请求。这归结为异常检测,研究人员还可以通过集成的日志记录产品来检测威胁。不过,专家表示,总的来说,抵御XSS攻击的最佳方法是预防而不是检测。跨站点脚本预防技巧确保您的浏览器已安装补丁,并确保在完成您正在执行的工作后退出该站点。这确保cookie不再有效,请注意您访问的网站。另一个好的策略是使用多个浏览器:一个用于受信任的站点,另一个用于不受信任的站点。在高层次上,考虑其开发过程并建立安全措施以保护应用程序和网站免受此类攻击。XSS容易防范,但如果没有安全原则作为开发设计的依据,事后采取安全保护措施时就会被忽略。最简单的方法是安装过滤器,当用户添加输入时,使其合理,比如电话号码应该是电话号码,日期应该是日期,而不是一段java脚本。确保如果您的应用程序要求一个名称,该名称不应是活动内容,并在将其显示给用户之前对其进行编码。这样,攻击者就无法使用明文发起攻击。但是这种高级方法在很大程度上取决于开发人员的技能水平。本文翻译自:https://fedtechmagazine.com/article/2020/10/cross-site-scripting-attacks-how-prevent-xss-vulnerabilities-perfcon
