锁定：使用OWASP Top Ten保证Web应用程序的安全——第二部分

商业影响

据Grossman称，一旦攻击者成功利用一个XSS脆弱性，他可以执行大量的恶意行为，包括：

• 强制发送电子邮件消息
• 转账
• 删除或修改数据
• 使用受害者的工作站攻击其它网站
• 下载非法内容

本质上说，成功完成攻击的攻击者能够执行Web页面脚本所能执行的任何功能。

预防XSS脆弱性

和许多Web应用程序脆弱性一样，确认输入是防御XSS利用的最佳方法。例如，保证不允许在任何Web页面框中输入尖括号。这似乎是一个非常简单的方法，但很明显它也是防御XSS攻击的最佳方法之一。McClure、Scambray和Kurtz在其文章中写道：

“…我们遇到的几乎每一种XSS脆弱性都是由于没有在输入中删除尖括号或没有在输出中对这些尖括号进行编码引起的”（《黑客大曝光》，第565页）。

不只是尖括号，还必须禁止语法输入。语法输入可能来自数据库、其它服务器等。必须对Web应用程序的所有输入进行过滤，保证向你的用户传送“干净”的内容。

组织还可以采用其它步骤来预防由XSS脆弱性引起的问题，它们包括：

• 对用户进行培训，告诉他们小心使用电子邮件消息或即时消息中的链接。
• 实施互联网访问控制解决方案，限制访问高风险网站（即色情和盗版媒体网站）并防止访问已知的恶意网站。
• 保证每个工作站有安装有个人防火墙和最新的防病毒软件。对防火墙进行配置，限制外部连接。
• 对所有敏感功能加以保护，避免其自动执行和由第三方网站执行（Grossman）。
• 执行手工或自动化代码扫描，确定并消除潜在的XSS机会。

总结

XSS脆弱性可能给企业网络带来重大风险，攻击者可能会在用户不知情的情况下盗走敏感信息。如上面列举的步骤所说明的，预防XSS要求用户和程序员提高警惕，并使用技术解决方案来避免人为错误。

责任编辑：德东

查看本文国际来源