Home 技术文章 Q4 2020中的跨站点脚本(XSS)攻击:趋势和最佳实践
Applications

Q4 2020中的跨站点脚本(XSS)攻击:趋势和最佳实践

About The Author

Outline

原始来源:EdgeCast

Web应用程序安全仍然是各种规模的组织面临的首要威胁。 根据Verizon 2020数据泄露调查报告(DBIR),43%的数据泄露涉及Web应用程序,¹和80%的黑客攻击向量以Web应用程序为目标。²

在2020年第四季度,Verizon Media发现,与前几季度相比,我们的内容交付网络(CDN)上的跨站点脚本(XSS)流量显著增加 。 本博客探讨了一些流量数据点,并剖析了尝试使用的XSS有效负载中最重要的一个。 我们还会分享如何使用这些数据来实施保护措施。

使用此内容作为操作驱动指南,了解如何处理敲入组织前门的潜在恶意XSS流量。 它还可以帮助您与您的领导团队和业务/运营伙伴进行必要的安全对话。

‍We拥有数据—让我们来了解一下

‍The Verizon Media WAF在2020年第四季度抵御了15亿次请求。 我们将”缓解”定义为触发阻止,自定义响应或URL重定向的任何WAF事件。 这15亿个数据块代表HTTP请求,否则这些请求会到达我们客户的源服务器。 此数据告诉我们:

  1. 后台漏洞扫描的数量是巨大的。 如果你认为你是安全的,因为你的目标不值得攻击或因为你不是众所周知的,你就错了。 据Verizon DBIR说,”如果您允许我们用一个混合的比喻,在这种情况下就不会排斥熊,因为熊都是批量3D打印并自动捕猎的。”³
  2. 如果您的Web应用程序是安全的,那么这种扫描似乎不会比一个防盗锁门把手更有害,并且允许此类流量到达您的服务器是无害的,而不会给您的服务器带来额外的负载。 但是,在不对称网络安全战争中,攻击者只需纠正一次,从而使他们在未来更容易纠正。 那么,如果你能阻止它,为什么让窃贼搅动门把手呢?

为了进一步推动这个家,让我们来仔细看看一些从Q4 2020被阻止的流量。

在过去的三个季度中,被阻止的跨站点脚本(XSS)流量从Q2 2020的第一位移动到Q4 2020的第四位,在此期间,流量几乎翻了一番,占被阻止流量的10%。

图1 在短短六个月内,我们看到XSS流量翻了一番以上。

‍Getting了解您的XSS流量

‍According对于Open Web Application Security Project (OWASP),当应用程序在新网页中包含不受信任的数据而没有进行适当的验证或转义时,或者当应用程序使用用户提供的数据更新现有网页时(使用可创建HTML或JavaScript的浏览器API),就会出现XSS漏洞。 XSS允许攻击者在受害者的浏览器中执行脚本,这可能劫持用户会话,破坏网站或将用户重定向到恶意网站。

这种暴露威胁到您的基础设施,数据机密性和完整性以及通过Internet交付的数据的可用性。 这些攻击可能导致未经授权的内容访问,个人身份信息(PII)的丢失以及私有/版权信息的传播。

这是一个问题,因为一旦连接到互联网并暴露在互联网上,就不会隐藏任何内容:如果您站起来,就会对其进行扫描。 一旦新的Web应用程序联机并暴露在Internet上,就会对其进行测试,以了解其如何响应不同的操作或请求。 这些发现的结果可能会产生一个有趣的情节扭曲,我们将很快讨论。

首先,让我们继续探讨潜在风险的范围。 许多网站,Web应用程序和服务器在公司受保护的内部网络之外接收和处理请求。 因此,它们容易受到OWASP分组的各种恶意威胁的攻击,包括SQL注入,XSS和 应用层的分布式拒绝服务(DDoS)攻击

考虑到Verizon WAF检测到的XSS攻击数量增加,XSS在2020年MITRE CWE前25强榜单上位列榜首也不足为奇:⁴

图2 2020年CWE前25强中的弱点的简要列表,包括每个弱点的总分。

正如我们看到被阻止的XSS流量增加一样,国家漏洞数据库(NVD)中记录的,也与XSS漏洞利用相关的实际漏洞数量也有所增加:

  • ‍513过去三个月内记录的XSS漏洞(每月171个)
  • ‍5,507过去三年记录的XSS漏洞(每月153个)
  • ‍16,936一直记录XSS漏洞

是的,维权者使用与攻击者相同的工具来探测漏洞。 因此,认识到恶意流量的存在并不一定意味着流量背后有邪恶的意图,这一点很重要。 但可能会有。

至少,如果一个好奇的坏参与者成功扫描系统,他们可以尝试XSS漏洞——所有这一切都是出于执行侦察的精神。 更糟糕的是,重建活动以及从中获得的结果可能会被用于通过XSS丢弃受损或破坏性的有效负载,或者用作更邪恶的事物的跳板,例如服务器端请求伪造(SSRF)。

‍Is这是一个”优秀的垫脚石”,我明白了吗?

‍Remember我们前面提到的门把手夹紧情景? 现在是时候把这种隐喻带回来了。

大多数XSS流量和事件对自己来说可能并不重要,但如果您愿意,它们可能会导致重大挑战和问题,这是成功妥协的基石。

成功的XSS攻击可能允许攻击者在受害者的浏览器中执行任意HTML和JavaScript。 通常,用户需要与指向攻击者控制的页面的一些恶意链接进行交互,例如水坑网站或广告。

让我们来看看Q4 2020 (内部指定为规则ID 941100)的首要规则违规,它映射到一个最大有效负载,演示了将XSS用作步进式攻击的能力:

“><script >alert( String.fromCharCode(88,83,83 )</script>”

这是许多代码库(如htmlpurifier.org.⁵)中非常常见的XSS测试字符串。当试图验证此特定负载是否正常工作时,会显示一个带有字符串”XSS”的弹出警报框,立即向攻击者验证特定网站是否容易受到反映的XSS的攻击。

一旦攻击者验证反射的XSS存在,”反射的攻击就会通过另一个路由(如电子邮件或其他网站)传送。 当用户被欺骗而点击恶意链接,提交特制表单,甚至只是浏览恶意网站时,注入的代码会传送到容易受到攻击的网站,从而将攻击反映回用户的浏览器。”⁶

图3 网络攻击者如何利用XSS漏洞。

此攻击可以执行被攻击的用户在网站上可以执行的任何操作,包括”泄露用户的会话cookie,允许攻击者劫持用户的会话并接管帐户。”⁷例如, 更改代表用户提交的用户密码的脚本可能导致帐户接管。

还有其他的例子可以借鉴。 在另一个公开记录的案例中,SSRF攻击最初是通过XSS漏洞发起的,安全研究人员”能够从图像内部的XSS升级到服务器上的任意本地文件读取”⁸

并非每个研究人员(或网络罪犯)都有足够的耐心将他们的XSS漏洞与更有意义的事情联系起来。 然而,持有XSS以获得更大和更好的东西似乎是一些研究人员在他们的bug赏金计划中获得大奖的常见方法。

‍Mitigation ć 和defense‍ ć

在缺乏数据的情况下,很难作出决定。 但是,一旦您能够了解情况,就可以更容易地找到一条路径,引导您实现预期结果。 以下是帮助降低XSS流量给您的网络和企业带来的风险的提示和资源集合。

  1. 确保您了解所有面向Internet的设备,并且考虑强化传统系统和测试系统或使其脱机。 这在云基础设施时代尤为重要,开发团队只需点击几下或提交表单即可启动机器。
  2. 正确配置和强化Web服务器。 请考虑使用Internet证券中心基准测试等工具来了解如何配置服务器的控制。 正确配置TLS配置以防止MITM攻击。
  3. 定期修补所有面向Internet的服务器。 有时,常用框架容易受到XSS的攻击。 截至2021年2月,MITRE的ATT&CK数据库列出了近17,000个与XSS有一定联系的漏洞和弱点。
  4. 定期验证安全强化的有效性。 使用攻击者使用的相同动态应用程序安全测试(DAST)工具,如OWASP ZAP或Kali Linux中的类似漏洞扫描工具。 或者,使用DAST或渗透测试服务来发现和扫描面向Internet的易受攻击的服务器。
  5. 启用Web应用程序防火墙(WAF)以阻止常见攻击。
  6. 保持WAF更新以立即阻止任何发现的漏洞,从而允许应用程序团队部署修复。 更新WAF,因为有新规则可用于防范新发现的漏洞。
  7. 启用日志记录并检查这些日志。
  8. 使用高度冗余的权威DNS服务和高度分布式DDoS保护和Web加速服务(即CDN),保护您的网站和关键网络基础设施免受容量耗尽攻击。

从n ü data‍ 开始

您可以对应用程序进行精细调整,以提供内容和一组强大的安全控制,以帮助降低风险,甚至阻止内部攻击。 但是,为什么首先让潜在有害的流量进入您的网络? 为什么有机会错过策略或绕过控制?

Verizon Media Security客户可以轻松获得两项功能,以保护他们免受威胁:

  1. 我们会查看攻击您网站的潜在有害(或至少是无用的)网络流量。
  2. 可启用集成的Verizon Media WAF,以在恶意流量自动变为问题之前阻止恶意流量。

采取一个重要步骤来提高您的Web应用程序的安全性,请立即联系我们以了解更多信息。

参考资料

  1. Verizon,” 2020数据泄露调查报告”,Verizon.com/business.com,enterprise.verizon.com/resources/reports/dbir/。 第7页。
  2. 同上,第88页。
  3. 同上,第23页。
  4. CWE,”2020 CWE最危险的25个软件弱点“,CWE.mitre.org, cwe.mitre.org/top25/archive/2020/2020_cwe_top25html
  5. HTMLpurposer,”HTML purposer XSS Attacks Smoketest,” HTMLpurifier.org, htmlpurifier.org/live/smoketests/xssAttacks.php
  6. OWASP,”跨站点脚本(XSS),” owasp.org, owasp.org/www-community/attacks/xss/
  7. 同上
  8. Buerhaus, Brett,”将PhantomJS图像渲染中的XSS升级到SSRF/本地文件读取,BUER.Haus. 2020年6月29日。

Tags

Just For You