2015/07/14 XSS跨網站指令碼攻擊

您可能聽過這種狀況: 我只是點了某個連結, 結果帳號就被盜了。您可能是上了惡意的網站, 但也可能只是個一向很正常的網站, 怎麼會這樣呢?

網站如果有開放使用者留言的功能, 要對留言內容特別小心處理, 因為其中很可能被夾帶惡意的程式碼, 導致網站被入侵, 或使用者資料外洩, 或成為駭客跳板…等。
 

跨網站指令碼攻擊的原理及運作方式

所謂惡意網站指的是架設者本身就帶著惡意來架設網站, 但更多時候, 駭客會把惡意的指令碼貼到一般網站的留言版上, 以散佈更多的攻擊行為, 或將使用者導引到惡意網站。

如果留言版沒有對使用者留言進行查核, 並對留言內容夾帶的程式碼過濾, 那麼駭客就可以在留言中植入網頁瀏覽器可執行的JavaScript或其它指令, 達到入侵或竊取資料的目的, 更可跨網域執行更多的惡意程式。根據維基百科的說明, 常用的XSS攻擊手段和目的有：

● 盜用 cookie ，取得敏感資訊。
● 利用植入 Flash ，通過 crossdomain 許可權設定進一步取得更高許可權；或者利用Java等得到類似的操作。
● 利用 iframe、frame、XMLHttpRequest或上述Flash等方式，以（被攻擊）用戶的身份執行一些管理動作，或執行一些一般的如發微     網誌、加好友、發私信等操作。
● 利用可被攻擊的域受到其他域信任的特點，以受信任來源的身份請求一些平時不允許的操作，如進行不當的投票活動。
● 在存取量極大的一些頁面上的XSS可以攻擊一些小型網站，實作DDoS攻擊的效果。
除了來自外部的惡意程式, 網站架設時用的元件函式庫中也可能含有惡意程式
 

我的網站如何避免跨網站指令碼攻擊

● 使用者留言避免立即發佈, 要有查核機制
● 留言內容要過濾掉可執行的程式碼, 及讀取外部資源的行為。只留下單純的文字內容。
● 使用信譽良好的元件函式庫
 

相關網路資源

1.來源1
2.來源2
3.來源3