技術領域

本發明涉及網絡安全技術領域，尤其涉及一種跨站腳本攻擊的防御方法。

背景技術

在目前所有的安全威脅中，Web安全無疑是被攻防雙方觀注程度最高，同時也是參與人數最多、安全漏洞與安全事件發生頻率與數量最多、受害面最廣的安全事故高發區，而在這個高居安全事件之首的事故頻發區中，據多家國際權威機構統計，到目前為止，跨站腳本攻擊是Web安全中最為常用，攻擊成功率最高的攻擊手段。因此，如果用一句話來總結跨站腳本攻擊的危害，那就是：??“跨站腳本攻擊是到目前為止最受關注的、威脅最高的攻擊手段”。

根據以往跨站腳本攻擊的安全事件及產生的后果來看，跨站腳本攻擊可導致的后果極其嚴重，影響面也十分之廣，例如：1、盜取各類用戶帳號，如機器登錄帳號、用戶網銀帳號、各類管理員帳號；2、控制企業數據，包括讀取、篡改、添加、刪除企業敏感數據的能力；3、盜竊企業重要的具有商業價值的資料；4、非法轉賬；5、強制發送電子郵件；6、網站掛馬；7、控制受害者機器向其它網站發起攻擊。跨站腳本攻擊不僅威脅程度更大、威脅波及面更廣，同時攻擊過程也更加復雜多變，與SQL注入攻擊檢測類似，傳統基于攻擊特征匹配的方法收效甚微。

之所以會產生跨站腳本攻擊，是由于要在網頁中展示用戶提交的內容。典型的場景如用戶登錄后顯示歡迎信息，郵箱中展示郵件，論壇中展示用戶發帖，新聞、購物等展示用戶的評價信息，社交網站展示用戶的各種活動信息，以及博客、微博展示用戶所發內容等。因此，有兩類防止跨站腳本攻擊的方法，一是在服務端過濾用戶提交的腳本內容；二是在客戶端攔截未過濾掉的可疑腳本。

首先從服務端進行過濾的角度分析。與防止SQL注入攻擊類似，要想過濾腳本，首先得識別出腳本。這個難度非常大，往往是百密難免一疏。現在所知的所有知名網站，都在跨站腳本攻擊方面受到過威脅。比如，2006年PayPal(一種網上支付方式，可以付錢給任何有e-mail的人，主要用于個人之間的網上交易)就遭到攻擊，黑客欺騙PayPal的用戶訪問另外一個頁面警告客戶說他們的帳戶受到威脅。實際上受害者訪問的是一個網絡釣魚站點然后獲取了PayPal客戶的注冊信息、社會保險號、信用卡的詳細信息。還有Facebook在2008年12月15日與2009年1月4日被曝出一系列高危XSS安全漏洞，Facebook眾多的功能同時遭受牽連，如新用戶注冊、iPhone登錄、密碼重新設定等等。攻擊者能夠利用這些XSS漏洞攻擊數以百萬計的Facebook用戶，例如散播惡意軟件、廣告軟件和間諜軟件等等。這些高危跨站點腳本攻擊漏洞使得Facebook用戶可能受到釣魚攻擊并導致ID失竊。這些高危漏洞已經對用戶的隱私構成了高度的威脅。

其次再從客戶端攔截未過濾掉的腳本角度分析。因為在服務端都過濾不掉，一般來說在客戶端也很難發現什么腳本該攔截，什么腳本不該攔截。所以現有的方法基本有兩類，一類是根據以往經驗，根據一些已知的攻擊情況所集成的規則庫來識別可能的攻擊腳本，目前主要是判斷url后附著腳本的情況，盡可能的攔截掉url中附加腳本的現象。另一類就是由用戶控制有選擇的阻止一些腳本的執行，這種方法其實更有問題。不用說普通用戶，就是專家也不容易進行選擇，而且這樣的做法極大的損害了用戶體驗。

中國專利公開號CN101741645A公開了一種存儲式跨站腳本攻擊的檢測方法，其特征在于，包括：獲取用戶訪問的網頁內容腳本標簽；獲取所述腳本標簽對應的腳本內容可疑特征的危險值以及所述腳本語句位置的違規度；對所述腳本內容可疑特征的危險值和腳本語句位置的違規度進行綜合分析以檢測所述用戶訪問的網頁是否存在存儲式跨站腳本攻擊。

中國專利公開號CN?101901307A公開了一種檢測數據庫是否遭到跨站腳本攻擊的方法，包括：捕獲提交到數據庫服務器的數據包，從中提取出SQL語句；如果提取出的SQL語句為包含修改數據庫字段內容的語句，則判斷所述包含修改數據庫字段內容的語句中是否含有跨站腳本攻擊行為，如果有則判定數據庫被跨站腳本攻擊。