近日，安恒信息安全研究院在研究過程中發(fā)現(xiàn)百度、騰訊、新浪等多家互聯(lián)網(wǎng)公司的WEB應(yīng)用產(chǎn)品存在存儲(chǔ)型跨站漏洞，影響和危害十分嚴(yán)重，可能直接影響中國(guó)互聯(lián)網(wǎng)數(shù)以億記的廣大網(wǎng)民的信息安全。安恒信息安全研究院本著對(duì)互聯(lián)網(wǎng)的"協(xié)作"精神及安全研究團(tuán)隊(duì)的責(zé)任感，在發(fā)現(xiàn)漏洞后立即與百度等公司安全部門取得聯(lián)系并提交所發(fā)現(xiàn)的漏洞，并協(xié)助其修復(fù)漏洞。

危害

互聯(lián)網(wǎng)高速發(fā)展的這幾年，跨站漏洞一直排在OWASP十大漏洞的前三位，國(guó)內(nèi)著名的漏洞報(bào)告平臺(tái)WOOYUN上也有諸多廠商被跨站漏洞攻擊而導(dǎo)致管理后臺(tái)淪陷的案例。一般最常見的跨站漏洞攻擊方法就是利用"社會(huì)工程學(xué)"，誘騙網(wǎng)站管理員或者網(wǎng)站瀏覽者點(diǎn)擊精心構(gòu)造的網(wǎng)站中的某個(gè)鏈接，該鏈就會(huì)將瀏覽者在該網(wǎng)站中的Cookie通過攻擊者事先已經(jīng)在某個(gè)主機(jī)空間建立好的一個(gè)文件保存到另一個(gè)文件中，攻擊者利用所獲取到的Cookie劫持用戶的會(huì)話后，就可以訪問該用戶經(jīng)授權(quán)訪問的所有數(shù)據(jù)和功能。有時(shí)，跨站攻擊也可能轉(zhuǎn)變成一種病毒或能夠自我繁殖的蠕蟲，特別是當(dāng)下十分流行的微博很容易被這樣的漏洞所攻擊,這種攻擊確實(shí)很嚴(yán)重。

原因

出現(xiàn)跨站漏洞的原因可能是因?yàn)榫W(wǎng)站開發(fā)人員在開發(fā)過程中，未對(duì)用戶輸入字符正確執(zhí)行危險(xiǎn)字符清理。

針對(duì)網(wǎng)站開發(fā)者的建議：

1.限制在CGI中用戶提交數(shù)據(jù)的長(zhǎng)度。

2.對(duì)所有用戶提交內(nèi)容進(jìn)行可靠的輸入驗(yàn)證。這些提交內(nèi)容包括URL、查詢關(guān)鍵字、http頭、post數(shù)據(jù)等。

3.對(duì)文件的參數(shù)傳遞做嚴(yán)格的過濾、阻塞或忽略其它的任何東西（過濾"<"">""script""iframe"等）；

4.保護(hù)所有敏感的功能，以防被bots自動(dòng)化或者被第三方網(wǎng)站所執(zhí)行。實(shí)現(xiàn)session標(biāo)記（session tokens）、CAPTCHA系統(tǒng)或者HTTP引用頭檢查

5.如果web應(yīng)用必須支持用戶提供的HTML，請(qǐng)確認(rèn)接收的HTML內(nèi)容被妥善地格式化，僅包含最小化的、安全的tag（絕對(duì)沒有JavaScript），去掉任何對(duì)遠(yuǎn)程內(nèi)容的引用（尤其是樣式表和JavaScript）。為了更多的安全，請(qǐng)使用httpOnly的cookie。

6.留心可疑的過長(zhǎng)鏈接，尤其是它們看上去包含了HTML代碼。如果對(duì)其產(chǎn)生懷疑，可以在瀏覽器地址欄中手工輸入域名，而后通過該頁(yè)面中的鏈接瀏覽你所要的信息

7.使用第三方WEB防火墻增強(qiáng)整個(gè)網(wǎng)站系統(tǒng)安全。

針對(duì)網(wǎng)站管理員和普通網(wǎng)友的建議：

1.不要輕易打開郵件、QQ消息、站內(nèi)短信等不明和奇怪的URL鏈接，發(fā)現(xiàn)有奇怪鏈接或者短鏈接（如現(xiàn)在中微博流行的短鏈接）應(yīng)選擇刪除或忽視。

2.如果你使用的是IE瀏覽器請(qǐng)升級(jí)到最新版本，微軟從IE8開始內(nèi)置了XSS腳本攔截保護(hù)的瀏覽器。谷歌的Chrome現(xiàn)在也內(nèi)置了該功能。如果你使用的Firefox火狐瀏覽器則可以利用免費(fèi)的NoScrpit附加組件有選擇地?cái)r截腳本。

3.同時(shí)最重要的是提高自己的信息安全意識(shí)，在使用互聯(lián)網(wǎng)的過程中學(xué)會(huì)自我保護(hù)。