計算機網(wǎng)絡(luò)已經(jīng)成為人們工作和生活中必不可少的工具，尤其近期受新冠肺炎疫情的影響，很多人居家遠程辦公，在網(wǎng)上購買生活必需品，人們已經(jīng)離不開計算機網(wǎng)絡(luò)。然而網(wǎng)絡(luò)在帶來方便的同時，也存在一定的安全隱患，例如用戶個人信息可能會被黑客竊取，甚至可能發(fā)生計算機網(wǎng)絡(luò)攻擊事件。1事件經(jīng)過筆者近年從事對一些單位門戶網(wǎng)站網(wǎng)絡(luò)安全漏洞的掃描工作。2019年12月，筆者發(fā)現(xiàn)某網(wǎng)站存在網(wǎng)絡(luò)安全漏洞，及時向網(wǎng)站所屬單位進行了通報，漏洞詳細情況如下：漏洞名稱為跨站腳本（XSS），漏洞數(shù)量1個，漏洞等級為高危。漏洞描述一種攻擊者利用網(wǎng)站程序?qū)τ脩糨斎脒^濾不足的缺陷，輸入可以顯示在頁面上并對其他用戶造成影響的HTML代碼，從而盜取用戶資料、利用用戶身份進行某種動作或者對訪問者進行病毒侵害的攻擊方式。對該漏洞的驗證過程如下（1）構(gòu)造跨站腳本攻擊URL代碼在網(wǎng)頁地址欄輸入圖2所示的代碼后，在網(wǎng)站相應(yīng)頁面出現(xiàn)彈框報警，顯示出“23”字樣。（2）在頁面上輸入文字將漏洞情況通報網(wǎng)站所屬單位，該單位進行了一些修復，過濾掉“alert彈窗”。2漏洞危害跨站腳本漏洞在每年的OWASP Top10（最新十大Web安全風險）中一直名列前茅，可被用于竊取隱私、釣魚欺騙、偷取密碼、傳播惡意代碼等攻擊行為。惡意攻擊者可以利用跨站腳本漏洞在網(wǎng)站中插入任意代碼，只要是腳本代碼能夠?qū)崿F(xiàn)的功能，跨站腳本攻擊都能夠做到。3防范措施跨站腳本攻擊按形式可分為三種，即反射性XSS攻擊、存貯性XSS攻擊以及基于DOM的XSS攻擊。其過程簡單來說，就是惡意攻擊者在Web頁面里插入惡意腳本代碼，用戶瀏覽該網(wǎng)頁時，嵌入Web頁面的腳本代碼就會被執(zhí)行，進而達到攻擊目的?？缯灸_本攻擊相對于其他網(wǎng)絡(luò)攻擊而言更隱蔽。做好防范，須做到以下幾點：（1）對傳入?yún)?shù)進行有效性檢測（2）保護用戶Cookie信息（3）限制輸入字符的長度（4）檢查用戶提交信息中的鏈接（5）對用戶上傳文件進行檢索限制（6）加強網(wǎng)站內(nèi)部人員安全管理網(wǎng)絡(luò)安全問題并不遙遠，就在我們身邊，因此提升網(wǎng)站相關(guān)人員安全意識、工作責任心、安全防護技術(shù)能力尤為重要。此次網(wǎng)站跨站腳本漏洞，從發(fā)現(xiàn)到修復用了兩周時間，并不困難。然而跨站腳本攻擊相對其他攻擊手段更加隱蔽和多變，與網(wǎng)站業(yè)務(wù)流程、功能代碼實現(xiàn)都有關(guān)系，不存在一勞永逸的解決方案。防范跨站腳本攻擊以及其他網(wǎng)站安全漏洞，往往要犧牲網(wǎng)站的便利性，如何在安全和便利之間尋求平衡也是網(wǎng)站建設(shè)的一大焦點議題。

當前標題：網(wǎng)站制作的在漂亮如何安全不到位一樣白搭
網(wǎng)站網(wǎng)址：http://jinyejixie.com/news/66688.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供品牌網(wǎng)站設(shè)計、移動網(wǎng)站建設(shè)、品牌網(wǎng)站制作、全網(wǎng)營銷推廣、定制開發(fā)、網(wǎng)站設(shè)計

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時需注明來源： 創(chuàng)新互聯(lián)