Home 技术文章 2020年第四季度的跨站点脚本攻击(XSS)攻击:趋势和最佳实践
Download
Applications
Media
Expert Service

2020年第四季度的跨站点脚本攻击(XSS)攻击:趋势和最佳实践

Download
Share

About The Author

Picture of Richard Yew
Richard Yew
Richard Yew is an accomplished Senior Director of Product Management - Security at Edgio, bringing extensive expertise in security solutions, TLS protocols, CDN configuration, and developer services. With a career spanning various prominent tech companies like Yahoo and Verizon, Richard's wealth of knowledge and leadership in the field make him a valuable asset to Edgio and the tech industry.

Outline

Download
Share

原文来源:EdgeCast

Web应用程序安全仍然是大小组织面临的主要威胁向量。 根据Verizon 2020数据泄露调查报告(DBIR),43%的数据泄露涉及Web应用程序,¹和80%的黑客攻击向量以Web应用程序为目标。²

2020年第四季度,威瑞森媒体内容交付网络(CDN)上的跨站点脚本执行(XSS)流量明显增加。 本博客探讨了一些流量数据点,并解剖了尝试最多的XSS有效负载之一。 我们还会分享如何使用这些数据来应用保护措施。

将此内容用作处理潜在恶意XSS流量敲击组织前门的操作驱动型指南。 它还可以帮助您与领导团队和业务/运营同行进行必要的安全对话。

‍We掌握数据—让我们探索一下

‍The Verizon Media WAF在2020年第四季度缓解了15亿次请求。 我们将”缓解”定义为触发块,自定义响应或URL重定向的任何WAF事件。 这15亿个块表示HTTP请求,否则这些请求会到达客户的源站服务器。 这些数据告诉我们:

  1. 后台漏洞扫描的数量是巨大的。 如果你认为自己是安全的,因为你的目标不值得攻击,或者因为你不是众所周知,你就错了。 根据Verizon DBIR的说法,”如果你给我们一个混合的比喻,在这种情况下,没有什么能超越熊的地方,因为熊都是被批量3D打印出来的,并且是自动捕捉你的。”³
  2. 如果您的Web应用程序受到保护,此类扫描似乎并不比盗窃操纵门把手更有害,并且允许此类流量到达您的服务器除了增加服务器的负载外,也没有任何危害。 但在非对称网络安全战争中,攻击者只需正确一次,从而使他们在未来更容易正确。 那么,为什么让防盗摇晃门把手,如果你可以防止它?

要进一步开车回家,让我们更深入地了解2020年第四季度以来的一些受阻流量。

在过去三个季度中,阻止的跨站点脚本(XSS)流量从2020年第二季度的第一位上升到2020年第四季度的第四位,在此期间,流量几乎翻了一番,占阻止流量的10%。

图1. 在短短六个月内,我们发现XSS流量增加了一倍以上。

‍Getting了解您的XSS流量

‍According对于Open Web Application Security Project (OWASP),当应用程序在没有正确验证或转义的情况下在新网页中包含不受信任的数据时,或者当应用程序使用可以创建HTML或JavaScript的浏览器API使用用户提供的数据更新现有网页时,就会出现XSS缺陷。 XSS允许攻击者在受害者的浏览器中执行脚本,这些脚本可以劫持用户会话,诋毁网站或将用户重定向到恶意网站。

这种暴露会威胁您的基础设施,数据的机密性和完整性以及通过Internet交付的数据的可用性。 这些攻击可能导致未经授权的内容访问,个人身份信息(PII)的丢失以及隐私/版权保护信息的传播。

这是一个问题,因为一旦连接到互联网并暴露到互联网上,任何东西都不会被隐藏:如果你站起来,它将被扫描。 一旦新的Web应用程序上线并暴露在Internet上,将对其进行测试,以了解其如何对不同的操作或请求作出反应。 这些发现的结果可以创造一个有趣的情节扭曲,我们将在稍后讨论。

首先,让我们继续探讨潜在风险敞口的范围。 许多网站,Web应用程序和服务器在公司受保护的内部网络之外接收和处理请求。 因此,它们很容易受到OWASP分组的各种恶意威胁的攻击,包括SQL注入,XSS和应用程序层的分布式拒绝服务(DDoS)攻击

考虑到Verizon WAF检测到的XSS攻击的增加,XSS在2020年MITRE CWE Top 25排行榜上排名榜首也不足为奇:⁴

图2. 2020年CWE Top 25中的弱点的简要列表,包括每个弱点的总体得分。

正如我们已经看到被阻止的XSS通信量有所增加,国家漏洞数据库(NVD)中记录的也与XSS漏洞利用相连的实际漏洞数量也在增加:

  • ‍513过去三个月记录的XSS漏洞(每月171个)
  • ‍5,507过去三年记录的XSS漏洞(每月153个)
  • ‍16,936一直记录XSS漏洞

是的,防御者使用与攻击者相同的工具来探测漏洞。 因此,必须认识到恶意流量的存在并不一定意味着流量背后有恶意意图。 但也可能存在。

至少,如果好奇的恶意攻击者成功扫描系统,他们可能会尝试XSS漏洞-这一切都出于执行侦察的精神。 更糟糕的是,重建活动及其获得的结果可用于通过XSS丢弃危害或破坏性有效负载,或用作更恶意的行为(例如服务器端请求伪造(SSRF))的踏脚石。

“我 ‍Is,这是一个”优秀的踏脚石”吗?

‍Remember我们前面提到的门把手摆动的情景? 现在是时候把这个比喻带回来了。

大多数XSS流量和事件可能对自己并不重要,但它们可能会导致重大挑战和问题,如果您愿意,这将是通往成功妥协的踏脚石。

成功的XSS攻击可能允许攻击者在受害者的浏览器中执行任意HTML和JavaScript。 通常,用户需要与一些指向攻击者控制页面的恶意链接(如Watering Hole网站或广告)交互。

让我们来看看2020年第4季度的首要违规(内部指定为规则ID 941100),该违规映射到首要有效负载之一,展示了将XSS用作进阶攻击的能力:

“><script >alert( String.fromCharCode(88,83,83 ))</script>”

在许多代码库(如htmlpurifier.org.⁵)中,这是一个非常常见的XSS测试字符串。在试图验证此特定有效负载是否正常工作时,会显示一个带有字符串”XSS”的弹出警报框,立即向攻击者验证特定网站是否易受已反映XSS的攻击。

一旦攻击者确认存在反射的XSS,”反射的攻击将通过另一条路由(如电子邮件或其他网站)传递。当用户被诱骗点击恶意链接,提交特制表单甚至只是浏览恶意网站时,注入的代码将传输到易受攻击的网站,从而将攻击反映回用户的浏览器。”⁶

图3. 网络攻击者如何利用XSS漏洞。

此攻击可以在网站上执行被攻击的用户可以执行的任何操作,包括”泄露用户的会话Cookie,允许攻击者劫持用户的会话并接管帐户”。⁷例如,脚本更改代表用户提交的用户密码可能导致帐户接管。

还有其他的踏脚石例子可以借鉴。 在另一个公开记录的案例中,SSRF攻击最初是通过XSS漏洞发起的,安全研究员”能够从图像内部的XSS升级到服务器上任意读取本地文件”⁸

并非每个研究人员(或网络罪犯)都有足够的耐心将其XSS漏洞与更有意义的内容联系起来。 然而,持有一个XSS为更大和更好的事情似乎是一种常见的方法,一些研究人员希望在他们的bug奖励计划中获得大奖。

‍Mitigation ć 和defense‍ ć

在没有数据的情况下,很难作出决定。 但是,一旦您了解情况,就可以更容易地确定一条路径,引导您获得所需的结果。 以下是一些提示和资源集合,可帮助降低XSS流量给您的网络和业务带来的风险。

  1. 确保您了解所有面向互联网的设备,并且考虑强化旧系统和测试系统或使其脱机。 这在云基础设施时代尤为重要,在云基础设施时代,开发团队只需单击几下鼠标或提交表单即可启动机器。
  2. 正确配置和强化Web服务器。 考虑使用互联网证券中心基准等工具来了解如何配置服务器的控件。 正确配置TLS配置以抵御MITM攻击。
  3. 定期修补所有面向Internet的服务器。 有时,常用的框架容易受到XSS的攻击。 截至2021年2月,MITRE的ATT&CK数据库列出了近17,000个与XSS有一定联系的漏洞和弱点。
  4. 定期验证安全强化的有效性。 使用攻击者使用的相同动态应用程序安全测试(DAST)工具,例如OWASP ZAP或Windows XP中类似的漏洞扫描工具。 或者,使用DAST或渗透测试服务来发现和扫描易受攻击的面向Internet的服务器。
  5. 启用Web应用程序防火墙(WAF)以阻止常见攻击。
  6. 更新WAF以立即阻止发现的任何漏洞,从而允许应用程序团队部署修复程序。 更新WAF,因为有新规则可防止新发现的漏洞。
  7. 启用日志记录并检查这些日志。
  8. 使用高度冗余的权威DNS服务以及高度分布式DDoS保护和Web加速服务(即CDN),保护您的网站和关键网络基础设施免受容量攻击。‍

从n ü data‍ 开始

您可以对应用进行精细调整,以交付内容和一套强大的安全控制措施,从而帮助降低风险,甚至阻止使其进入内部的攻击。 但是,为什么首先让潜在有害流量进入您的网络? 为什么会忽略策略或绕过控件?

Verizon Media Security客户可轻松使用两种功能,保护他们免受威胁:

  1. 我们会查看攻击您的站点的潜在有害(或至少是无用的)网络流量。
  2. 可启用集成的Verizon Media WAF,在恶意流量自动成为问题之前阻止恶意流量。

采取提高Web应用程序安全性的重要步骤,请立即联系我们了解更多信息。

参考资料

  1. Verizon,”2020数据泄露调查报告Verizon.com/business.com,enterprise.verizon.com/resources/reports/dbir/。 第7页。
  2. 同上,第88页。
  3. 同上,第23页。
  4. CWE,”2020 CWE Top 25 Most Dangerous Software Weaknesss”,CWE.mitre.org,cwe.mitre.org/top25/archive/2020/2020_cwe_top25.html
  5. HTMLpurifier,”HTML PurifierXSS Attacks Smoketest “,HTMLpurifier.org,htmlpurifier.org/live/smoketests/xssAttacks.php
  6. OWASP,”跨站点脚本(XSS)“,owasp.org,owasp.org/www-community/attacks/xss/
  7. 同上
  8. Buerhaus,Brett,”Escalating XSS in PhantomJS image rendering to ssRF/local-file read,BUER.Haus。 2020年6月29日。
与专家交谈

Tags

Just For You