只要我們有幫助站點(diǎn)所有者創(chuàng)建動(dòng)態(tài)、功能性網(wǎng)站的 Web 應(yīng)用程序，跨站點(diǎn)腳本 (XSS) 攻擊就已經(jīng)存在了。但即使是在1990 年代就觀察到了第一次 XSS 攻擊，現(xiàn)在，進(jìn)入21世紀(jì)，跨站點(diǎn)腳本仍然是一個(gè)問(wèn)題。今天，我們將弄清楚跨站點(diǎn)腳本的作用，為什么黑客如此喜歡它，以及是什么阻止了站點(diǎn)所有者消除它。

網(wǎng)絡(luò)安全狀況

也許問(wèn)題始于責(zé)任問(wèn)題。您可能會(huì)爭(zhēng)辯說(shuō)，在21世紀(jì)，即使是新手用戶也應(yīng)該意識(shí)到圍繞他們的主要在線威脅。您甚至可能會(huì)認(rèn)為，如果他們遵循可疑鏈接并最終導(dǎo)致數(shù)據(jù)被盜，他們只會(huì)責(zé)備自己。

每個(gè)網(wǎng)站所有者都應(yīng)該非常注意他們的用戶數(shù)據(jù)。盡管如此，目前的網(wǎng)絡(luò)安全狀況表明這并沒(méi)有真正發(fā)生。我們每天都看到對(duì)網(wǎng)站的成功攻擊，網(wǎng)絡(luò)犯罪社區(qū)沒(méi)有放緩的跡象。

根據(jù)2019 年的一項(xiàng) PreciseSecurity 調(diào)查， 超過(guò) 72% 的網(wǎng)絡(luò)攻擊以網(wǎng)站為目標(biāo)，其中超過(guò) 40% 的人試圖利用跨站點(diǎn)腳本漏洞。PreciseSecurity 揭示了 XSS 攻擊是黑客最喜歡的武器。

什么是跨站點(diǎn)腳本？

跨站點(diǎn)腳本攻擊的巧妙之處在于該操作發(fā)生在用戶的設(shè)備上。實(shí)際上，攻擊者使用易受攻擊的網(wǎng)站作為工具將惡意腳本 傳送到用戶的計(jì)算機(jī)。由于腳本來(lái)自正版網(wǎng)站，因此瀏覽器會(huì)在不質(zhì)疑其合法性的情況下執(zhí)行它。這種威脅已經(jīng)存在了很長(zhǎng)時(shí)間，黑客非常清楚如何測(cè)試潛在目標(biāo)的 XSS 漏洞。攻擊也可以很便宜地組織起來(lái)，而潛在的支出是非常有利可圖的。

XSS 攻擊幾乎可以使用您能想到的任何客戶端編程語(yǔ)言，但犯罪分子主要關(guān)注 JavaScript。有些人可能會(huì)覺(jué)得這有點(diǎn)奇怪，因?yàn)?JavaScript 文件在受控環(huán)境中執(zhí)行并且它們對(duì)操作系統(tǒng)的訪問(wèn)受限。然而，事實(shí)是，使用 JavaScript 的跨站點(diǎn)腳本攻擊遠(yuǎn)非無(wú)害。例如，基于 JavaScript 的 XSS會(huì)啟用 網(wǎng)站污損，因?yàn)閻阂饽_本可以修改瀏覽器顯示的內(nèi)容。在更嚴(yán)重的情況下，攻擊者可以更改新聞稿 或更改產(chǎn)品文檔以破壞公司的聲譽(yù)。

然而，XSS 攻擊通常以用戶及其數(shù)據(jù)為目標(biāo)。盡管 JavaScript 在相對(duì)孤立的環(huán)境中運(yùn)行，但 JS 中的惡意腳本可以使用 HTML5 API訪問(wèn)受害者的麥克風(fēng)、攝像頭和地理位置。它還可以觸發(fā)對(duì)任意位置的 HTTP 請(qǐng)求，可能會(huì)在受害者的系統(tǒng)上部署惡意軟件。黑客也使用 XSS 攻擊進(jìn)行會(huì)話劫持和帳戶接管。JavaScript 可以訪問(wèn)瀏覽器保存的網(wǎng)站數(shù)據(jù)。這包括包含會(huì)話令牌的 cookie——這些信息讓您登錄到您的帳戶，并且無(wú)需為每個(gè)服務(wù)器請(qǐng)求填寫您的用戶名和密碼。使用會(huì)話令牌，黑客可以在不知道您的登錄憑據(jù)的情況下冒充您。從那時(shí)起，接管整個(gè)帳戶就像餡餅一樣容易。

跨站點(diǎn)腳本的類型

與往常一樣，黑客在發(fā)起 XSS 攻擊時(shí)有許多不同的攻擊向量可供選擇。在某些情況下，他們使用社交工程和垃圾郵件讓用戶點(diǎn)擊偽造的鏈接或訪問(wèn)特定的 URL。在其他情況下，他們會(huì)破壞 Web 應(yīng)用程序并等待用戶蜂擁而至并無(wú)意中執(zhí)行惡意腳本。根據(jù)攻擊在執(zhí)行過(guò)程中所經(jīng)歷的設(shè)置和階段，您可以確定三種不同類型的跨站點(diǎn)腳本：

存儲(chǔ)型 XSS 攻擊

在存儲(chǔ)型 XSS 攻擊（也稱為Type-1或持久性 XSS 攻擊）中，攻擊者注入惡意腳本（或有效負(fù)載）并將其保存在 Web 應(yīng)用程序數(shù)據(jù)庫(kù)中。在對(duì)網(wǎng)站的請(qǐng)求期間，黑客的腳本與網(wǎng)站的合法代碼一起執(zhí)行。有一個(gè)存儲(chǔ)型 XSS 攻擊的子集，稱為Blind XSS。常規(guī)持久性 XSS 攻擊和盲目攻擊之間的區(qū)別在于，對(duì)于后者，黑客的意圖是在 Web 應(yīng)用程序的后端執(zhí)行有效負(fù)載。換句話說(shuō)，它通常針對(duì)站點(diǎn)管理員而不是用戶。

反射型 XSS 攻擊

在反射型 XSS 攻擊（稱為Type-2或非持久性 XSS 攻擊）中，攻擊者不會(huì)將有效負(fù)載存儲(chǔ)在應(yīng)用程序的底層基礎(chǔ)架構(gòu)中。相反，它會(huì)作為對(duì)特制請(qǐng)求的響應(yīng) 從 Web 服務(wù)器上反映出來(lái)。

受反射型 XSS 漏洞影響的網(wǎng)站數(shù)量要多得多，而且這種類型的攻擊更為常見(jiàn)。與存儲(chǔ)的跨站點(diǎn)腳本不同，成功的反射式攻擊通常包括某種形式的社會(huì)工程，并且不會(huì)影響所有用戶。

基于 DOM 的 XSS 攻擊

基于 DOM 的 XSS 攻擊還依賴于用戶單擊攻擊者構(gòu)建的鏈接。有效負(fù)載嵌入到惡意 URL中，并被傳遞到瀏覽器的文檔對(duì)象模型 (DOM)，因?yàn)樗诖颂巿?zhí)行。發(fā)生這種情況是因?yàn)闉g覽器假定請(qǐng)求來(lái)自 Web 應(yīng)用程序。基于 DOM 的跨站點(diǎn)腳本最糟糕的事情是傳統(tǒng)的 XSS 對(duì)策對(duì)這種類型的攻擊 不起作用。多年來(lái)，瀏覽器供應(yīng)商一直在嘗試實(shí)施XSS 保護(hù)機(jī)制，但他們的成功有限。尤其是在涉及基于 DOM 的攻擊時(shí)，保護(hù)用戶的唯一方法是在您的網(wǎng)站或應(yīng)用程序開(kāi)發(fā)過(guò)程中遵循一些最佳實(shí)踐。