计算机网络已经成为人们工作和生活中必不可少的工具,尤其近期受新冠肺炎疫情的影响,很多人居家远程办公,在网上购买生活必需品,人们已经离不开计算机网络。然而网络在带来方便的同时,也存在一定的安全隐患,例如用户个人信息可能会被黑客窃取,甚至可能发生计算机网络攻击事件。1事件经过笔者近年从事对一些单位门户网站网络安全漏洞的扫描工作。2019年12月,笔者发现某网站存在网络安全漏洞,及时向网站所属单位进行了通报,漏洞详细情况如下:漏洞名称为跨站脚本(XSS),漏洞数量1个,漏洞等级为高危。漏洞描述一种攻击者利用网站程序对用户输入过滤不足的缺陷,输入可以显示在页面上并对其他用户造成影响的HTML代码,从而盗取用户资料、利用用户身份进行某种动作或者对访问者进行病毒侵害的攻击方式。对该漏洞的验证过程如下(1)构造跨站脚本攻击URL代码在网页地址栏输入图2所示的代码后,在网站相应页面出现弹框报警,显示出“23”字样。(2)在页面上输入文字将漏洞情况通报网站所属单位,该单位进行了一些修复,过滤掉“alert弹窗”。2漏洞危害跨站脚本漏洞在每年的OWASP Top10(最新十大Web安全风险)中一直名列前茅,可被用于窃取隐私、钓鱼欺骗、偷取密码、传播恶意代码等攻击行为。恶意攻击者可以利用跨站脚本漏洞在网站中插入任意代码,只要是脚本代码能够实现的功能,跨站脚本攻击都能够做到。3防范措施跨站脚本攻击按形式可分为三种,即反射性XSS攻击、存贮性XSS攻击以及基于DOM的XSS攻击。其过程简单来说,就是恶意攻击者在Web页面里插入恶意脚本代码,用户浏览该网页时,嵌入Web页面的脚本代码就会被执行,进而达到攻击目的。跨站脚本攻击相对于其他网络攻击而言更隐蔽。做好防范,须做到以下几点:(1)对传入参数进行有效性检测(2)保护用户Cookie信息(3)限制输入字符的长度(4)检查用户提交信息中的链接(5)对用户上传文件进行检索限制(6)加强网站内部人员安全管理网络安全问题并不遥远,就在我们身边,因此提升网站相关人员安全意识、工作责任心、安全防护技术能力尤为重要。此次网站跨站脚本漏洞,从发现到修复用了两周时间,并不困难。然而跨站脚本攻击相对其他攻击手段更加隐蔽和多变,与网站业务流程、功能代码实现都有关系,不存在一劳永逸的解决方案。防范跨站脚本攻击以及其他网站安全漏洞,往往要牺牲网站的便利性,如何在安全和便利之间寻求平衡也是
网站建设的一大焦点议题。
当前标题:网站制作的在漂亮如何安全不到位一样白搭
网站网址:https://www.cdcxhl.com/news/66688.html
成都网站建设公司_创新互联,为您提供品牌网站设计、移动网站建设、品牌网站制作、全网营销推广、定制开发、网站设计
广告
声明:本网站发布的内容(图片、视频和文字)以用户投稿、用户转载内容为主,如果涉及侵权请尽快告知,我们将会在第一时间删除。文章观点不代表本网站立场,如需处理请联系客服。电话:028-86922220;邮箱:631063699@qq.com。内容未经允许不得转载,或转载时需注明来源:
创新互联