来自 应用 2021-06-10 22:26 的文章

cdn防御cc_防网站ddos_新用户优惠

cdn防御cc_防网站ddos_新用户优惠

ImmuniWeb>Security BlogXSS:2014年黑客攻击您网站的最简单方法4.2k 189 10 10 10 10 16星期四,2014年11月20日星期四阅读时间:6分钟。没有必要让人们相信XSS过去、现在和将来可能是最常见的网络漏洞。然而,许多人,包括安全工程师、团队领导和web开发人员,仍然严重低估了XSS的影响及其后果。在这篇博文中,我们将试图揭示XSS漏洞最常被忽视的风险。ul.svclk.itlk公司li{font-style:italic;}简介今天,没有必要让人们相信XSS(跨站点脚本)过去、现在、将来可能是最流行的web应用程序漏洞。然而,安全狗能防御ddos吗,许多人,包括安全工程师、团队领导和web开发人员,仍然严重低估了跨站点脚本漏洞的影响及其后果。对XSS漏洞的无知也间接证实了XSSPosed.org网站"网站,一个公开的网络漏洞档案。该网站包含约6000个XSS漏洞,美国高防cdn节点,包括Google PR 10网站、Alexa Top 100网站、安全公司网站、政府和媒体网站的漏洞。许多漏洞仍未修补。在这篇博文中,我们将试图揭示XSS漏洞最常被忽视的风险。下面您将看到的数字和统计数据主要来自:ImmuniWeb?按需web应用程序渗透测试SaaS High Tech Bridge Security Research Lab正在进行的由High Tech Bridge执行的计算机取证项目。关于XSS-XSS漏洞的一些快速事实和数字已经被网络犯罪分子积极利用了近十几年。OWASP将XSS描述为"最普遍的web应用程序安全缺陷",安全公司和组织经常提到XSS是最常见/最常见的web漏洞:Trustwave的Spiderlabs估计"82%的web应用程序易受XSS攻击"(2013年)。WhiteHat安全报告称,"XSS重新成为最常见的漏洞"(2014年)。Cenzic确认"XSS在[最常见漏洞]列表中的发生频率居首位"(2014年)。MITRE的CWE在2011年就这个问题发出警告,称"XSS是web应用程序中最普遍、最顽固和最危险的漏洞之一"(2014年)。自2012年第一季度以来,高科技桥梁安全研究实验室发布了169份安全建议,涉及161种知名软件产品,其中56%(91%)包含XSS漏洞。由于我们的努力和帮助,96%的漏洞都是由供应商修补的,但是XSS漏洞在被发现或修补之前通常存在很长一段时间。XSS:黑客的巨大机遇和被忽视的风险在本节中,我们将简要概述XSS攻击的最常见属性以及它们给攻击者带来的机会,其中许多攻击多年来一直存在,ddos攻击可以防御吗,但仍被web开发人员严重低估甚至忽视。XSS不需要太多的社会工程或与人类的交互是的,与SQL注入不同,XSS只有在攻击者能够诱骗用户打开恶意链接以触发该漏洞的情况下才可被利用。很多人认为黑客会给你发送一个200个字符的网址,里面有XSS的有效载荷,任何防病毒软件都会阻止,任何有经验的用户都不会想到打开它。事实上,通过让受害者访问攻击者可以在其中进行XSS攻击的任何网站的任何页面,都可以利用XSS漏洞进行攻击。AJAX函数允许攻击者从攻击者控制的任何网站窃取cookie(或执行任何其他XSS攻击),受害者不需要在浏览器窗口中打开易受攻击的网站。当然,攻击者需要对使用XSS漏洞的网站具有写访问权限,但是现在很容易在受害者经常访问和信任的几十个甚至数百个著名网站中危害一个。这种被动的XSS攻击非常危险,免费ddos防御vps,因为它们不需要向受害者发送任何东西,也不需要欺骗点击任何链接,只要将受害者经常访问的网站后门,等待1到2天就足够了。只要对[由攻击者控制]网站的索引页进行小的更改就足够了,如果访问者的IP地址属于受害者的子网(例如银行的网络),华为DDOS防御做的最好,则索引页将自动在其他HTML内容中插入XSS漏洞。这种攻击极难被发现,即使是IT安全专业人员也可以通过这种技术轻易地受到危害。另一种模式,我们在市场上经常看到的,是使用XSS漏洞(尤其是存储的漏洞)向受害者传递恶意软件,而不仅仅是窃取凭据。通过点击看似可信的链接,受害者不仅成为通过XSS窃取数据的受害者,而且还完全受到损害。简要事实:超过90%的XSS漏洞都可以被利用,即使是高级用户和IT人员也不会怀疑任何东西。超过70%的web应用程序的结构和体系结构允许创建一个复杂的XSS攻击,该漏洞将执行几个完全自动化的连续操作,最终为攻击者提供完全的管理访问权限。超过95%的XSS漏洞可用于执行复杂的逐下载攻击,感染那些只打开他们信任的无害URL的用户。SSL证书和到网站的HTTPS连接对web应用程序的安全性绝对没有影响,也永远无法阻止XSS攻击。子域上的XSS会使整个web应用程序处于危险中许多大公司安装昂贵的web应用程序防火墙(WAF),并定期对其主要、最关键的网站进行渗透测试。同时,他们忽略了许多他们认为对业务连续性"不那么重要"的子域的安全性。问题是,在许多情况下,为了简单、可用性和兼容性,在主网站上安装了cookies(例如。网站)将对任何子域有效,例如(教育网站或者jobs.site.com网站). 这意味着被遗忘子域上的XSS漏洞很容易被用来从主网站或其他子域(例如-banking.site.com银行这也为*设置了cookies。site.com网站),即使它们位于不同数据中心中完全不同的服务器上。通常情况下,特别是在大公司中,不同部门出于测试目的而拥有自己的网站和子域,但这些网站和子域的存在会危及公司的整个网络基础设施。我们甚至没有谈论测试区直接位于主网站上的情况(例如。)但可以通过谷歌搜索找到。简讯:超过80%的网站设置cookies的方式是,它们可以被几个甚至所有的子域访问。超过90%的大型和信誉良好的网站的子域存在XSS漏洞。WAF不再针对XSS漏洞提供保护Web应用程序防火墙是保护敏感Web应用程序的常用方法。然而,WAF永远不应该被用作保证web应用程序安全的唯一安全措施。Web应用程序不断发展:新的特性和功能正在定期添加和更新,而HTML5带来了新的功能。所有这些因素都会导致WAF规则集很快过时,并允许黑客绕过它们。应特别注意将用户提供的输入插入JS代码中的web应用程序:它给攻击者提供了无限的机会来混淆XSS有效负载,从而绕过任何WAF。简单事实:超过70%的现有WAF规则集可以通过XSS混淆技术绕过。在实时网站上,大约30%的xs是JS代码中的xs,因此WAF无法阻止它。人们忽视了使XSS易于利用的安全最佳实践大多数web应用程序使用cookie中的会话来识别用户,依赖于不安全的机制来创建和管理会话。会话没有绑定到一个唯一的用户标识符,例如他的IP地址,如果会话是通过XSS攻击窃取的-攻击者可能会重新使用该用户的帐户进入系统。Web开发人员往往忽略最佳实践,例如使用不能通过JavaScript访问的httpOnly Cookie。当然,httpOnly cookies并不能阻止XSS攻击的所有载体,但可以显著降低cookie中存储的数据被盗的风险。但是,如果web服务器支持HTTP跟踪方法,则即使httpOnly Cookie也没有用处,因为HTTP跟踪方法允许攻击者绕过限制读取httpOnly Cookie。会话过期不足是今天的另一个大问题,它也被列在OWASP的前10名中。它大大简化了XSS攻击:即使用户从系统注销,他的会话也将保持有效,并允许黑客在受害者帐户下冲浪,直到受害者回来。但是请记住,在使用完全自动化的XSS漏洞的情况下,十几秒钟可能就足够完全控制受害者的帐户了。简讯:85%的网站没有将用户会话绑定到用户IP地址,也没有进行适当的会话管理。80%的网站不使用httpOnly cookies。一个单一的XSS漏洞使得CSRF保护机制变得毫无用处几乎任何web应用程序都给予其管理员很大的访问权限和权限:从任意SQL命令执行到任意文件上传和任意代码执行。管理界面通常不具备标准用户界面中存在的众多安全机制,因为管理员通常被视为不会损害自己网站的可信方。现代web应用程序具有跨站点请求伪造(CSRF)保护,以防止sensiti的恶意使用