XSS跨站脚本攻击剖析与防御

XSS跨站脚本攻击剖析与防御 邱永华 编著 人民邮电出版社 北京 序 在2012年年末的时候，邱永华先生找到我，希望我能为他的新书作 序，我也得以有幸提前拜读到了本书的手稿。 在我看来，本书的完成，是一件值得高兴的事情。因为这是国内第 一本专门阐述XSS的著作，本书的问世，为学习 Web 安全的新人提供 了充分的学习材料，也为安全从业者提供了一份不可多得的参考手册， 最终也必然将推动大家对XSS安全技术的重视。 长期以来，XSS攻击的危害都没有得到大多数的开发者的正确认 识，甚至有的网络安全工作者也认为XSS的“危害不大”。造成这种误解 的原因是多方面的。 XSS攻击的危害与具体业务场景密切相关。不同的业务场景，会导 致不同的网络安全问题，有的场景危害大，有的场景危害小。而 XSS 作为一种漏洞类型，在描述其定义时很难定位到具体的场景里去。XSS 攻击的危害程度大小，依赖于业务场景的重要程度。 我在阿里巴巴工作期间，曾经负责处理淘宝、支付宝的钓鱼欺诈案 件。当时就发现很多案件中， XSS漏洞被用于网购钓鱼。诈骗者将一个 XSS链接通过即时通信软件发送给用户，用户单击后，会自动跳转到钓 鱼网站的页面，最终造成资金损失。在这样的案件中，诈骗者利用 XSS 使得链接的域名是真实合法的网站，从而绕过了所有安全软件的检测。 我当时曾经粗略估算过一个 XSS 漏洞造成的损失，如果算上用户损失 的金额，以及网站的修复成本，在案件最猖獗的时候，每个XSS漏洞会 带来超过50万人民币的损失。 除此之外，曾经有多起网络犯罪利用Web Mail的XSS漏洞窃取目标 用户的邮箱，而这样的定点渗透攻击所造成的损失往往难以衡量。 XSS攻击与浏览器也密切相关，在不同的浏览器上有着不同的表 现。随着互联网的发展，浏览器的版本更新非常迅速。因此，想要熟练 地掌握 XSS 防范技巧，需要对不同浏览器的特性进行深入地了解。 相对于攻击服务端的漏洞来说，XSS的攻击目标是客户端。通常来 说，网站开发者、网站安全工程师会更重视攻击网站服务器的安全漏 洞。但是，站在用户的角度，或者说从整个互联网安全的角度来看， XSS的安全性应该得到很好重视。 XSS攻击能够控制目标用户的浏览器做任何事情，因此，也会造成 用户数据、用户隐私的泄露。在数据时代这一点显得尤为敏感。但是， 今天很多网站的用户数据并未得到妥善的保管，很多爬虫、第三方抓取 软件都或多或少地能从网站上抓取到一些用户数据，这也许会使得 XSS 的危害看起来不是那么的突出。但本书将会告诉你，XSS能做到的事情 可能会远远出乎你的想象，加以防范是很重要的。 可以毫不夸张地说，几乎每个网站都......