本节书摘来自华章计算机《Web应用漏洞侦测与防御:揭秘鲜为人知的攻击手段和防御技术》一书中的第2章,第2.3节,作者:(美) 希马(Shema, M.)著, 更多章节内容可以访问云栖社区“华章计算机”公众号查看。
2.3 小结
不管攻击者的编程知识和熟练程度如何,HTML注入漏洞和跨站脚本(XSS)漏洞对于各个层级的攻击者都是理想的可利用的漏洞。漏洞利用的代码很容易编写,只需要一个文本编辑器即可,有时候甚至只需要浏览器导航栏,对JavaScript也只需要大致了解,不像缓冲区溢出漏洞利用程序,需要掌握汇编语言、编译器、调试方法等知识。XSS还提供了阻力最小的途径使得有效负载能够感染Windows、OSX、Linux、Internet Explorer、Safari和Opera等。Web浏览器是显示HTML并同复杂网站进行交互的统一平台。当HTML被一些恶意的元素巧妙操纵的时候,浏览器成了暴露信息的通用平台。有很多的用户个人数据存储在Web应用程序中,并且可以通过URL访问,对于攻击者而言没有必要付出额外的努力去获得被攻击者系统中的“root”或“administrator”权限。以浏览器为攻击目标的原因就像问劫匪为何抢劫银行的回答一样:“因为里面有钱”。
通过HTML注入攻击有安全意识的用户也很简单,即便用户的电脑安装了最新的防火墙、杀毒软件和安全补丁,容易程度同攻击在咖啡馆收发邮件的粗心用户并无二致。成功的攻击会以被攻击者浏览器中已经存在的数据为目标,或者利用HTML和JavaScript迫使浏览器执行不良的动作。当你浏览网页时,HTML和JavaScript都在浏览器内工作。使用搜索引擎、查看邮件、浏览新闻,但你可曾检查过加载到浏览器中的每一行文本么?
一些保护措施可以通过使用最新的浏览器来获得,但是主要针对的是试图为Java或Flash等浏览器插件加载漏洞的HTML注入。主流Web浏览器供应商继续增加浏览器内置防御来应对最常见的XSS以及其他基于Web的攻击。主要的防线位于网站内部,它们必须正确且安全地过滤、编码、显示内容,以保护访问者不会遭受此类攻击。
