从互联网诞生起,安全威胁就一直伴随着网站的发展。
2011年6月28日晚,新浪微博出现了一次比较大的XSS攻击事件。大量用户自动发送诸如:“郭美美事件的一些未注意到的细节”,“建党大业中穿帮的地方”,“让女人心动的100句诗歌”,“3D肉团团高清普通话版种子”,“这是传说中的神仙眷侣啊”,“惊爆!范冰冰艳照真流出了”等等微博和私信,并自动关注一位名为hellosamy的用户。
事件的经过线索如下:20:14,开始有大量带V的认证用户中招转发蠕虫;20:30,某网站中的病毒页面无法访问;20:32,新浪微博中hellosamy用户无法访问;21:02,新浪漏洞修补完毕
百度贴吧xss攻击事件
2014年3月9晚,六安吧等几十个贴吧出现点击推广贴会自动转发等。并且吧友所关注的每个关注的贴吧都会转一遍,病毒循环发帖。并且导致吧务人员,和吧友被封禁。
攻击新浪微博的手段被称作XSS攻击(跨站脚本攻击),指黑客通过纂改网页,注入恶意HTML脚本,在用户浏览网页时,控制用户浏览器进行恶意操作的一种攻击方式。
跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。
常见的XSS攻击类型有两种:
1、反射型:诱使用户点击一个嵌入恶意脚本的链接,达到攻击的目的。
2、持久性:黑客提交含有恶意脚本的请求,保存在被攻击的Web站点的数据库中,用户浏览网页时,恶意脚本被包含在正常页面中,达到攻击的目的。
XSS攻击相对“古老”,却又历久弥新,不断变出新的攻击花样,因此防范也非常复杂。
防范手段主要有两种:
1、消毒:对恶意脚本进行过滤和消毒处理,即对某些html危险字符转义。
2、HttpOnly:最早由微软提出,即浏览器禁止页面JS访问带有HttpOnly属性的Cookie。
网友评论