近日,安恒信息安全研究院在研究过程中发现百度、腾讯、新浪等多家互联网公司的WEB应用产品存在存储型跨站漏洞,影响和危害十分严重,可能直接影响中国互联网数以亿记的广大网民的信息安全。安恒信息安全研究院本着对互联网的"协作"精神及安全研究团队的责任感,在发现漏洞后立即与百度等公司安全部门取得联系并提交所发现的漏洞,并协助其修复漏洞。
危害
互联网高速发展的这几年,跨站漏洞一直排在OWASP十大漏洞的前三位,国内著名的漏洞报告平台WOOYUN上也有诸多厂商被跨站漏洞攻击而导致管理后台沦陷的案例。一般最常见的跨站漏洞攻击方法就是利用"社会工程学",诱骗网站管理员或者网站浏览者点击精心构造的网站中的某个链接,该链就会将浏览者在该网站中的Cookie通过攻击者事先已经在某个主机空间建立好的一个文件保存到另一个文件中,攻击者利用所获取到的Cookie劫持用户的会话后,就可以访问该用户经授权访问的所有数据和功能。有时,跨站攻击也可能转变成一种病毒或能够自我繁殖的蠕虫,特别是当下十分流行的微博很容易被这样的漏洞所攻击,这种攻击确实很严重。
原因
出现跨站漏洞的原因可能是因为网站开发人员在开发过程中,未对用户输入字符正确执行危险字符清理。
针对网站开发者的建议:
1.限制在CGI中用户提交数据的长度。
2.对所有用户提交内容进行可靠的输入验证。这些提交内容包括URL、查询关键字、http头、post数据等。
3.对文件的参数传递做严格的过滤、阻塞或忽略其它的任何东西(过滤"<"">""script""iframe"等);
4.保护所有敏感的功能,以防被bots自动化或者被第三方网站所执行。实现session标记(session tokens)、CAPTCHA系统或者HTTP引用头检查
5.如果web应用必须支持用户提供的HTML,请确认接收的HTML内容被妥善地格式化,仅包含最小化的、安全的tag(绝对没有JavaScript),去掉任何对远程内容的引用(尤其是样式表和JavaScript)。为了更多的安全,请使用httpOnly的cookie。
6.留心可疑的过长链接,尤其是它们看上去包含了HTML代码。如果对其产生怀疑,可以在浏览器地址栏中手工输入域名,而后通过该页面中的链接浏览你所要的信息
7.使用第三方WEB防火墙增强整个网站系统安全。
针对网站管理员和普通网友的建议:
1.不要轻易打开邮件、QQ消息、站内短信等不明和奇怪的URL链接,发现有奇怪链接或者短链接(如现在中微博流行的短链接)应选择删除或忽视。
2.如果你使用的是IE浏览器请升级到最新版本,微软从IE8开始内置了XSS脚本拦截保护的浏览器。谷歌的Chrome现在也内置了该功能。如果你使用的Firefox火狐浏览器则可以利用免费的NoScrpit附加组件有选择地拦截脚本。
3.同时最重要的是提高自己的信息安全意识,在使用互联网的过程中学会自我保护。