[发明专利]跨站脚本攻击的防御方法

说明书

技术领域

本发明涉及网络安全技术领域，尤其涉及一种跨站脚本攻击的防御方法。

背景技术

在目前所有的安全威胁中，Web安全无疑是被攻防双方观注程度最高，同时也是参与人数最多、安全漏洞与安全事件发生频率与数量最多、受害面最广的安全事故高发区，而在这个高居安全事件之首的事故频发区中，据多家国际权威机构统计，到目前为止，跨站脚本攻击是Web安全中最为常用，攻击成功率最高的攻击手段。因此，如果用一句话来总结跨站脚本攻击的危害，那就是：  “跨站脚本攻击是到目前为止最受关注的、威胁最高的攻击手段”。

根据以往跨站脚本攻击的安全事件及产生的后果来看，跨站脚本攻击可导致的后果极其严重，影响面也十分之广，例如：1、盗取各类用户帐号，如机器登录帐号、用户网银帐号、各类管理员帐号；2、控制企业数据，包括读取、篡改、添加、删除企业敏感数据的能力；3、盗窃企业重要的具有商业价值的资料；4、非法转账；5、强制发送电子邮件；6、网站挂马；7、控制受害者机器向其它网站发起攻击。跨站脚本攻击不仅威胁程度更大、威胁波及面更广，同时攻击过程也更加复杂多变，与SQL注入攻击检测类似，传统基于攻击特征匹配的方法收效甚微。

之所以会产生跨站脚本攻击，是由于要在网页中展示用户提交的内容。典型的场景如用户登录后显示欢迎信息，邮箱中展示邮件，论坛中展示用户发帖，新闻、购物等展示用户的评价信息，社交网站展示用户的各种活动信息，以及博客、微博展示用户所发内容等。因此，有两类防止跨站脚本攻击的方法，一是在服务端过滤用户提交的脚本内容；二是在客户端拦截未过滤掉的可疑脚本。

首先从服务端进行过滤的角度分析。与防止SQL注入攻击类似，要想过滤脚本，首先得识别出脚本。这个难度非常大，往往是百密难免一疏。现在所知的所有知名网站，都在跨站脚本攻击方面受到过威胁。比如，2006年PayPal(一种网上支付方式，可以付钱给任何有e-mail的人，主要用于个人之间的网上交易)就遭到攻击，黑客欺骗PayPal的用户访问另外一个页面警告客户说他们的帐户受到威胁。实际上受害者访问的是一个网络钓鱼站点然后获取了PayPal客户的注册信息、社会保险号、信用卡的详细信息。还有Facebook在2008年12月15日与2009年1月4日被曝出一系列高危XSS安全漏洞，Facebook众多的功能同时遭受牵连，如新用户注册、iPhone登录、密码重新设定等等。攻击者能够利用这些XSS漏洞攻击数以百万计的Facebook用户，例如散播恶意软件、广告软件和间谍软件等等。这些高危跨站点脚本攻击漏洞使得Facebook用户可能受到钓鱼攻击并导致ID失窃。这些高危漏洞已经对用户的隐私构成了高度的威胁。

其次再从客户端拦截未过滤掉的脚本角度分析。因为在服务端都过滤不掉，一般来说在客户端也很难发现什么脚本该拦截，什么脚本不该拦截。所以现有的方法基本有两类，一类是根据以往经验，根据一些已知的攻击情况所集成的规则库来识别可能的攻击脚本，目前主要是判断url后附着脚本的情况，尽可能的拦截掉url中附加脚本的现象。另一类就是由用户控制有选择的阻止一些脚本的执行，这种方法其实更有问题。不用说普通用户，就是专家也不容易进行选择，而且这样的做法极大的损害了用户体验。

中国专利公开号CN101741645A公开了一种存储式跨站脚本攻击的检测方法，其特征在于，包括：获取用户访问的网页内容脚本标签；获取所述脚本标签对应的脚本内容可疑特征的危险值以及所述脚本语句位置的违规度；对所述脚本内容可疑特征的危险值和脚本语句位置的违规度进行综合分析以检测所述用户访问的网页是否存在存储式跨站脚本攻击。

中国专利公开号CN 101901307A公开了一种检测数据库是否遭到跨站脚本攻击的方法，包括：捕获提交到数据库服务器的数据包，从中提取出SQL语句；如果提取出的SQL语句为包含修改数据库字段内容的语句，则判断所述包含修改数据库字段内容的语句中是否含有跨站脚本攻击行为，如果有则判定数据库被跨站脚本攻击。