二十多年来,跨站脚本(简称 XSS)漏洞一直是主流网站的心头之痛。为什么过了这么久,这些网站还是对此类漏洞束手无策呢?
对于最近 eBay 网站曝出的跨站脚本漏洞,你有什么想法?为什么会出现这样的漏网之鱼?一个如此大规模的网站,不应该具备可靠的网关安全技术以阻止任何情况下的 XSS 攻击么?
像 eBay 这样的网站,几乎完全基于用户产生的内容,通常在用户的项目描述部分包含许多活动内容(Active Content),比如 JavaScript 和 Flash。由于网站必须与用户互动,接收来自用户的输入、返回数据,这意味着,攻击者也可以直接与网站互动,从而穿破传统的外围安全防护。除非所有用户提供的内容都经过严格审查,XSS 攻击代码就有可能注入拍卖清单页面,从而影响每个访问该页面的用户。用户输入的所有内容(表单数据、cookie、邮件、文件、图片等)都应该视为不可信任,需要经历审查,删除其中可能被恶意使用的字符与字符串,才能继续执行脚本或传给数据库。
导致 eBay 这样的大网站持续受到 XSS 攻击的一大原因,是这些网站过于复杂,实时生成的网页常常会包含许多外部站点的内容。这使得测试阶段,枚举用户与应用交互的所有排列组合变得不太现实,继而导致 XSS 漏网之鱼的出现。