网站防范XSS攻击方法思路

　　XSS(Cross-site scripting)攻击是最常见的Web攻击之一，和其它Web攻击类似的是，XSS也是利用Web页面编码的不严谨，和SQL注入漏洞所不同的是，XSS漏洞更加难以发现避免。就连McAfee、Symantec、VeriSign这种专业安全公司，也在2008年1月的XEED.com报告中被爆出官网存在XSS漏洞。

　　此外，XSS攻击还有另外一个与众不同的特性：虽然骇客利用的是Web业务系统存在的漏洞，但真正的受害者却是随后访问这些Web系统的用户。

　　正是由于以上两个特性——难以避免、难以察觉，所以想要防御XSS攻击非常困难。启明星辰推出的天清入侵防御产品，采用基于攻击手法分析的检测方法，对Web威胁如SQL注入、XSS攻击等进行全面检测和防御。与传统的基于数据特征匹配和基于异常模型构建的Web安全相比，有着更低的漏报率和误报率。

　　1. 网上银行谨防XSS攻击

　　大家都用过网站的搜索功能，提供一个搜索输入框，用户在框中输入想要查找的内容，提交后台数据库检索。但如果提交的输入信息不是字符串，而是一段可执行指令呢?一个很常见的XSS例子，在输入框中填入“"> ”(不包括最外侧的双引号)，一些没有做严格过滤的站点将会弹出一个alert框，显示“XSS Testing”，这意味着这段脚本已经被执行了。Reflect-based XSS(反射式XSS)利用的就是这样一个原理。

　　以下就是一则利用XSS漏洞进行网银诈骗的真实案例。

　　小陈是ebank 网上银行的安全维护人员，有一天忽然接到客服部门转来的客户投诉，称收到一条交易提醒，但该客户仅做过网上银行的登录，并没有做过付款动作。

　　“你们给我发了一封邮件，说是有分期付款买笔记本电脑的优惠活动，我就点链接进来看，可没几分钟，我就收到交易提醒，说网上付款4784元，请我确认，但我还没下单呢，你们这是怎么回事?”电话里客户的声音明显带着压抑不住的愤怒。

　　经过确认，该客户使用的PC并不存在病毒，而且也的确是仅点击了广告邮件的链接而已。“那你把这封邮件发给我看看吧”，小陈在排除了其它可能性后，这么告诉客户，“分析出结果我们的客服人员将第一时间通知您，您现在的这笔费用我们先冻结，待解决后给您恢复”。

　　在收到客户转发来的邮件后，小陈第一眼就看出了问题，这不是ebank的系统邮件，而是一封钓鱼邮件，伪造了发件人名称的钓鱼邮件。其中关于促销优惠活动的页面都是截取了真实活动页面，但在“点击参加活动”的按钮后面，却隐藏着重重的杀机。

　　这个链接并非是正常促销活动所在的页面，而是如下所示的一个长URL

　　点击参加活动

　　一般的用户在看到URL开头是正确的网站域名ebank，都不会怀疑邮件的真实性，而骇客正是利用这一心理，精心设置了圈套，利用了Ebank的某个输入域中存在反射式XSS攻击漏洞，通过