漏洞名称:跨站脚本攻击漏洞(XSS)
漏洞等级:高
CVSS分值:7.5
漏洞描述:
跨站脚本攻击是指恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时跨站脚本攻击漏洞,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。
使用格式正确、有效且一致的请求也可能已在用户不知情的情况下发送。因此,Web 应用程序应检查所有请求以发现其不合法的迹象。此测试的结果指示所扫描的应用程序没有执行此操作。此脆弱性的严重性取决于受影响应用程序的功能。例如,对搜索页面的 CSRF 攻击的严重性低于对转账或概要文件更新页面的 CSRF 攻击。如果某个 Web 服务器设计为接收客户机的请求时无任何机制来验证该请求是否确实是客户机发送的,那么攻击者就有可能诱导客户机向该 Web 服务器误发请求,而该请求将视为真实请求。这可通过 URL、图像装入、 等来完成,并可导致数据暴露或意外的代码执行。如果用户当前已登录到受害者站点,请求将自动使用用户的凭证(包括会话 cookie、IP 地址和其他浏览器认证方法)。通过使用此方法,攻击者可伪造受害者的身份,并以其身份提交操作。
漏洞危害:
跨站脚本攻击(XSS, Cross Site Script)通常指攻击者通过“HTML注入”篡改了网页,插入恶意脚本,从而在用户浏览网页时跨站脚本攻击漏洞,控制用户浏览器的一种攻击。XSS漏洞可被用于用户身份窃取(特别是管理员)、行为劫持、挂马、蠕虫、钓鱼等。XSS是目前客户端Web安全中最重要的漏洞。
XSS按效果的不同可以分为3种:
1)反射XSS:页面仅把用户输入直接回显在页面或源码中,需要诱使用户点击才能成功;
2)存储XSS:XSS攻击代码会被存储在服务器中,由于用户可能会主动浏览被攻击页面,此种方法危害较大;
3)DOM XSS:通过修改页面的DOM节点形成XSS,严格来讲也可划为反馈型XSS。
漏洞修复方案:
1) 对重要的Cookie字段使用HTTPOnly参数;
基本上,cookie 的唯一必需属性是“name”字段。常见的可选属性如下:“comment”、“domain”、“path”,等等。必须相应地设置“HttpOnly”属性,才能防止会话 cookie 被脚本访问
2) 对所有的输入点进行严格的检查,过滤或拦截所有不符合当前语境的输入。由于无法预期所有可能的输出点语境,此种方法效果较差。
点击劫持:X-Frame-Options响应头信息缺失检查所有用户可控输入。HTTP 响应头信息中的X-Frame-Options,可以指示浏览器是否应该加载一个 iframe 中的页面。如果服务器响应头信息中没有X-Frame-Options,则该网站存在ClickJacking攻击风险。网站可以通过设置 X-Frame-Options 阻止站点内的页面被其他页面嵌入从而防止点击劫持。
修改web服务器配置,添加X-Frame-Options响应头。赋值有如下三种:
1、DENY:不能被嵌入到任何iframe或者frame中。
2、SAMEORIGIN:页面只能被本站页面嵌入到iframe或者frame中。
3、ALLOW-FROM uri:只能被嵌入到指定域名的框架中。
例如: