本论文为信息安全有关毕业论文前言,关于XSS脚本攻击与防范探析相关本科论文开题报告,可用于信息安全论文写作研究的大学硕士与本科毕业论文开题报告范文和优秀学术职称论文参考文献资料下载。免费教你怎么写信息安全及参考文献及数据库方面论文范文。
摘 要: 随着互联网和基于WEB的应用越来越广泛和深入,人们越来越感受到WEB技术给我们的工作和生活带来的便利,但是随之而来的安全问题也日益凸显,将对XSS的攻击行为进行分析,并提出相应的防范方法,以保护用户的安全.
关 键 词 : XSS;攻击;防范
中图分类号:TP393.08 文献标识码:A 文章编号:1671-7597(2011)1210192-01
0 前言
XSS攻击(又称跨站脚本攻击),它是在SQL注入攻击后最为常用的一种攻击手段.XSS的本质其实是一种WEB安全漏洞,XSS攻击就是利用网页的漏洞,将恶意的HTML代码插入到用户浏览的网页上,当用户浏览该网页时,嵌入的恶意代码就会执行,危害和攻击用户.
2009年,CWE/SANS联合发布的25个最危险的Bug中,XSS攻击就在其中.XSS攻击作为Web应用程序的最大威胁之一,直接影响着访问WEB应用程序的用户安全,如何防范XSS攻击,保障用户安全,任重而道远.
1.XSS攻击
XSS攻击的大量存在,究其原因主要是因为目前很多网站中的代码编写不够规范,代码中有存在漏洞,能被攻击者利用,发起攻击.[1]漏洞主要可分成三种类型:DOM-based XSS(本地利用漏洞)、Reflected XSS(反射式漏洞)和Stored XSS(存储式漏洞).
1.1 XSS漏洞攻击形式
XSS攻击的过程中涉及到三方,攻击者、受害者和存在漏洞的网站.在这三方之中,攻击者利用存在漏洞的网站向受害者进行攻击.XSS的攻击形式主要有两种:直接XSS攻击和间接XSS攻击.
直接XSS攻击是攻击者利用网站中的代码漏洞,直接在网页中插入恶意的代码,当用户浏览网页时,恶意代码被执行,攻击用户,这类攻击主要集中在对Stored XSS漏洞的利用上,Stored XSS漏洞攻击也是三种类型的漏洞攻击中危害最大的一种.
间接XSS攻击则是利用网站中的代码漏洞,在目标程序中嵌入一个恶意制造的XSS网页链接,引诱用户点击,启动恶意代码,攻击用户.这一种攻击形式依赖于非目标程序的漏洞,隐蔽性高,很容易被忽略.
1.2 XSS攻击常用脚本
1)检测网站中是否存在跨站漏洞.
2)弹出一个对话框(其中包含用户的COOKIE信息),如果该用户已经登录网站,则该COOKIE中包含了该用户的账号和.
3)当用户浏览该页面时,将弹出.省略/index.asp,
该窗口高200,宽200.
4)当用户浏览该页面时,打开一个“隐形”网页框架.
5)刷新到另一个页面.
Index.asp>
7)打开无数个浏览器,直至CPU超出其负荷.
8)修改注册表(IE主页).
2.XSS防范
究其原因XSS攻击主要是网站的代码有漏洞,所以要从根本上防范XSS,主要还是要依靠程序员较高的编程能力和安全意识[2].
2.1 基于代码修改的防范.主要防护措施如下:1)对用户提交的信息进行过滤和验证.2)编写Web程序时,采用POST形式来提交表单.3)定期检查和更新Web应用,以防被恶意用户进行盗链.4)实现Session标记、CAPTCHA系统或者HTTP引用头检查.
2.2 基于特征的防范.传统的XSS防御大多采用基于特征匹配的方法,对用户所提交的信息进行匹配检查,对“jascript”这个关键字进行检索,一旦发现提交的信息中包含“jascript”,就认定为XSS攻击[3].但是采用这种方式的防御,很容易躲避过去.
2.3 基于服务器端的防范.目前大多数的XSS防范都是部署在服务器端,主要措施是在数据库服务器前部署入侵防御产品.在选择入侵防御设备时,最好选择那些基于攻击手法或者说基于攻击原理的入侵检测的设备.因为XSS攻击变种多、隐蔽性强,而基于攻击手法的入侵防御产品能够精切的检测到XSS攻击.
2.4 基于用户角度的防范.网络用户要提高自己的安全意识,不要去贸然点击可疑的URL链接和来路不明的E-MAIL,因为当你打开一封或浏览论坛帖子时,可能恶意脚本就已经自动执行了,因此在做这些操作时一定要特别谨慎.建议在浏览器设置中关闭JaScript.