使用工具和测试防范跨站点脚本攻击

　　目前微软系列产品中，危害计算机安全的漏洞主要有7个：

　　一、LSASS相关漏洞是本地安全系统服务中的缓冲区溢出漏洞，5月份的“震荡波”病毒正是利用此漏洞造成了互联网严重堵塞。

　　二、RPC接口相关漏洞首先它会在互联网上发送攻击包，造成企业局域网瘫痪，电脑系统崩溃等情况。去年爆发的“冲击波”病毒正是利用了此漏洞进行破坏，造成了全球上千万台计算机瘫痪，无数企业受到损失。

　　三、IE浏览器漏洞能够使得用户的信息泄露，比如用户在互联网通过网页填写资料，如果黑客利用这个漏洞很容易窃取用户个人隐私。

　　四、URL处理漏洞，此漏洞给恶意网页留下了后门，用户在浏览某些美女图片网站过后，浏览器主页有可能被改或者是造成无法访问注册表等情况。

　　五、URL规范漏洞，一些通过即时通讯工具传播的病毒，比如当QQ聊天栏内出现陌生人发的一条链接，如果点击过后很容易中木马病毒。

　　六、FTP溢出系列漏洞主要针对企业服务器造成破坏，前段时间很多国内信息安全防范不到位的网站被黑，目前黑客攻击无处不在，企业一定要打好补丁。

　　七、GDI+漏洞可以使电子图片成为病毒!用户在点击网页上的美女图片、小动物、甚至是通过邮件发来的好友图片都有可能感染各种病毒。

　　根据消息称，目前国内有一些盗版XP用户在进行了操作系统升级过后，计算机出现比如：死机，蓝屏，进不了系统，提示请激活还有30天等情况出现。据专家分析，这些现象不是病毒爆发引起的。针对部分用户更新了微软补丁出现机器倒计时30秒的情况，反病毒专家再次强调，要防范类似于冲击波、震荡波这样的病毒一定要做好操作系统补丁升级工作，目前微软针对系统安全类的补丁是开放的进行升级。

　　因此，目前要防范病毒破坏最好在跨站点脚本(XSS)攻击是当今主要的攻击途径之一，利用了Web站点的漏洞并使用浏览器来窃取cookie或进行金融交易。跨站点脚本漏洞比较常见，并且要求组织部署涵盖威胁建模、扫描工具和大量安全意识在内的周密的安全开发生命周期，以便达到最佳的XSS防护和预防。本文解释了跨站点脚本攻击是如何实现并且就如何保护企业Web应用免于这种攻击提供了建议。

　　跨站点脚本讲解：XSS攻击如何实现?

　　跨站点脚本(XSS)允许攻击者通过利用因特网服务器的漏洞来发送恶意代码到其他用户。攻击者利用跨站点脚本(XSS)攻击向那些看似可信任的链接中注入恶意代码。当用户点击了链接后，内嵌的程序将被提交并且会在用户的电脑上执行，这会使黑客获取访问权限并偷走敏感数据。攻击者使用XSS来攻击受害者机器上的漏洞并且传输恶意代码而不是攻击系统本身。

　　通过用户输入的数据返回错误消息的Web表格，攻击者可以修改控制Web页面的HTML代码。黑客能够在垃圾信息中的链接里插入代码或者使用欺诈邮件来诱使用户对其身份产生信任。

　　例如攻击者可以发送带有URL的邮件给受害人，这个URL指向一个Web站点并且提供浏览器脚本作为输入;或者在博客或诸如Facebook、Twitter这样的社交网站上发布恶意URL链接。当用户点击这个链接时，该恶意站点以及脚本将会在其浏览器上运行。浏览器不知道脚本是恶意的并将盲目地运行这个程序，这转而允许攻击者的浏览器脚本使用站点的功能来窃取cookie或者冒充合法的用户来完成交易。

　　如何保护Web站点免受跨站点脚本攻击?

　　一些通常的跨站点脚本预防的最佳实践包括在部署前测试应用代码，并且以快速、简明的方式修补缺陷和漏洞。Web应用开发人员应该过滤用户的输入来移除可能的恶意字符和浏览器脚本，并且植入用户输入过滤代码来移除恶意字符。通常管理员也可以配置浏览器只接受来自信任站点的脚本或者关闭浏览器的脚本功能，尽管这样做可能导致使用Web站点的功能受限。

　　随着时代的进步黑客们变得更加先进，使用收集的工具集来加快漏洞攻击进程。这意味着仅仅部署这些通常的XSS预防实践是不够的，保护和预防过程必须从底层开始并持续提升。预防过程必须在开发阶段开始，建立在一个牢靠、安全的开发生命周期方法论之上的Web应用在发布版本中不太可能暴露出漏洞。这样以来，不仅提升了安全性，也改善了可用性而且缩减了维护的总体费用，因为在现场环境中修补问题比在开发阶段会花费更多。

　　威胁建模在XSS预防中也是重要的一个方面，应该纳入到每个组织的安全开发生命周期当中。威胁建模评估和辨识在开发阶段中应用程序面临的所有的风险，来帮助Web开发人员更好地理解需要什么样的保护以及攻击一旦得逞将对组织产生怎样的影响。要辨识一个特定应用的威胁级别，考虑它的资产以及它访问的敏感信息量是十分重要的。这个威胁建模过程将确保在应用的设计和开发过程中战略性地融合了安全因素，并且增强了Web开发人员的安全意识。

　　对于大型项目的Web开发人员来说，源代码扫描工具和Web应用漏洞扫描器是提高效率和减少工作量的通常选择。Web漏洞扫描器能够辨识常见的缺陷和漏洞——SQL注入、跨站点脚本和缓冲区溢出，但是定制的应用代码仍然必须进行人工审查。

　　已安装的操作系统上打上这些补丁。