計算機網絡已經成為人們工作和生活中必不可少的工具，尤其近期受新冠肺炎疫情的影響，很多人居家遠程辦公，在網上購買生活必需品，人們已經離不開計算機網絡。然而網絡在帶來方便的同時，也存在一定的安全隱患，例如用戶個人信息可能會被黑客竊取，甚至可能發(fā)生計算機網絡攻擊事件。1事件經過筆者近年從事對一些單位門戶網站網絡安全漏洞的掃描工作。2019年12月，筆者發(fā)現某網站存在網絡安全漏洞，及時向網站所屬單位進行了通報，漏洞詳細情況如下：漏洞名稱為跨站腳本（XSS），漏洞數量1個，漏洞等級為高危。漏洞描述一種攻擊者利用網站程序對用戶輸入過濾不足的缺陷，輸入可以顯示在頁面上并對其他用戶造成影響的HTML代碼，從而盜取用戶資料、利用用戶身份進行某種動作或者對訪問者進行病毒侵害的攻擊方式。對該漏洞的驗證過程如下（1）構造跨站腳本攻擊URL代碼在網頁地址欄輸入圖2所示的代碼后，在網站相應頁面出現彈框報警，顯示出“23”字樣。（2）在頁面上輸入文字將漏洞情況通報網站所屬單位，該單位進行了一些修復，過濾掉“alert彈窗”。2漏洞危害跨站腳本漏洞在每年的OWASP Top10（最新十大Web安全風險）中一直名列前茅，可被用于竊取隱私、釣魚欺騙、偷取密碼、傳播惡意代碼等攻擊行為。惡意攻擊者可以利用跨站腳本漏洞在網站中插入任意代碼，只要是腳本代碼能夠實現的功能，跨站腳本攻擊都能夠做到。3防范措施跨站腳本攻擊按形式可分為三種，即反射性XSS攻擊、存貯性XSS攻擊以及基于DOM的XSS攻擊。其過程簡單來說，就是惡意攻擊者在Web頁面里插入惡意腳本代碼，用戶瀏覽該網頁時，嵌入Web頁面的腳本代碼就會被執(zhí)行，進而達到攻擊目的?？缯灸_本攻擊相對于其他網絡攻擊而言更隱蔽。做好防范，須做到以下幾點：（1）對傳入參數進行有效性檢測（2）保護用戶Cookie信息（3）限制輸入字符的長度（4）檢查用戶提交信息中的鏈接（5）對用戶上傳文件進行檢索限制（6）加強網站內部人員安全管理網絡安全問題并不遙遠，就在我們身邊，因此提升網站相關人員安全意識、工作責任心、安全防護技術能力尤為重要。此次網站跨站腳本漏洞，從發(fā)現到修復用了兩周時間，并不困難。然而跨站腳本攻擊相對其他攻擊手段更加隱蔽和多變，與網站業(yè)務流程、功能代碼實現都有關系，不存在一勞永逸的解決方案。防范跨站腳本攻擊以及其他網站安全漏洞，往往要犧牲網站的便利性，如何在安全和便利之間尋求平衡也是網站建設的一大焦點議題。

網頁名稱：網站制作的在漂亮如何安全不到位一樣白搭
分享URL：http://www.aaarwkj.com/news38/66688.html

成都網站建設公司_創(chuàng)新互聯，為您提供網站策劃、網站制作、關鍵詞優(yōu)化、企業(yè)建站、網站維護、全網營銷推廣

廣告

聲明：本網站發(fā)布的內容（圖片、視頻和文字）以用戶投稿、用戶轉載內容為主，如果涉及侵權請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網站立場，如需處理請聯系客服。電話：028-86922220；郵箱：631063699@qq.com。內容未經允許不得轉載，或轉載時需注明來源： 創(chuàng)新互聯