Home 技術文章 Q4 2020年跨站點腳本攻擊(XSS):趨勢和最佳實踐
Applications

Q4 2020年跨站點腳本攻擊(XSS):趨勢和最佳實踐

About The Author

Outline

原始資料來源:EdgeCast

Web應用程式安全性仍然是各種規模組織的首要威脅媒介。 根據Verizon 2020數據洩露調查報告(DBIR),所有數據洩露中有43%涉及Web應用程式,¹ 80%的黑客向量針對Web應用程式。²

2020年第四季度,Verizon Media在我們的內容交付網路(CDN)上的跨站點腳本(XSS)流量比前幾個季度顯著增加。 本部落格探討了一些交通數據點,並分析了最常用的XSS有效負載之一。 我們還分享如何使用這些數據實施保護措施。

請將此內容用作操作導向指南,指導如何處理組織前門上的潛在惡意XSS流量。 這也有助於您與領導團隊和業務/營運部門的同事進行必要的安全對話。

‍We掌握數據—讓我們來探討一下

‍The Verizon Media WAF在2020年第四季度緩解了1.5億個請求。 我們將“緩解”定義爲觸發阻止,自定義響應或URL重定向的任何WAF事件。 這1.5億塊代表了HTTP請求,否則這些請求將到達客戶的源伺服器。 這些數據告訴我們:

  1. 後臺漏洞掃描數量巨大。 如果您認爲自己安全,是因爲您的目標不值得攻擊,或因爲您不太知名。 據Verizon DBIR稱,“如果你允許我們用一個混合的比喻,在這種情況下,沒有什麼可以超越熊的,因為熊都是批量3D列印的,並自動捕捉你。”³
  2. 如果您的Web應用程式受到保護,此類掃描可能不會比盜竊手指把手更有害,而允許此類流量到達伺服器不會造成額外的負載。 但在不對稱的網路安全戰爭中,攻擊者只需做一次正確的操作,從而使他們在未來更容易做出正確的操作。 那麼,如果你可以防止,爲什麼讓防盜手握門把手?

要進一步推動這一點,讓我們仔細看看Q4 2020的一些阻止流量。

在過去三個季度中,攔截的跨站點腳本(XSS)流量從Q2 2020年的最高位上升到Q4 2020年的第四位,在此期間的流量幾乎翻了一番,占被攔截流量的10%。

圖1. 在短短六個月內,我們發現XSS流量翻了一番以上。

‍Getting了解您的XSS流量

‍According對於Open Web Application Security Project (OWASP)來說,當應用程式在新網頁中包含不受信任的數據而沒有進行適當的驗證或轉義時,或者當應用程式使用用戶提供的數據更新現有網頁時(使用可以創建HTML或JavaScript的瀏攬器API),就會出現XSS缺陷。 XSS允許攻擊者在受害者的瀏攬器中執行腳本,這可能會劫持用戶會話,破壞網站或將用戶重定向到惡意站點。

這種暴露威脅到您的基礎設施,數據的機密性和完整性以及通過Internet傳輸的數據的可用性。 這些攻擊可能導致未經授權訪問內容,丟失個人識別資訊(PII)以及傳播私人/版權資訊。

這是一個問題,因為一旦連接到網際網路並將其暴露在網際網路上,就不會隱藏任何內容:如果您站起來,就會對其進行掃描。 一旦新的Web應用程式連線並暴露在網際網路上,將對其進行測試,以了解它如何對不同的操作或請求作出反應。 這些調查結果可以產生有趣的圖解扭曲,我們稍後將討論。

首先,讓我們繼續探討潛在暴露的範圍。 許多網站,Web應用程式和伺服器在公司受保護的內部網路之外接收和處理請求。 因此,它們容易受到OWASP分組的各種惡意威脅的攻擊,包括SQL注入,XSS和應用程式層的分布式拒絕服務(DDoS)攻擊

考慮到Verizon WAF檢測到的XSS攻擊數量增加,XSS在2020年MITRE CWE前25名中也名列榜首,這就不足為奇了:⁴

圖2 簡要列出2020 CWE前25名中的弱點,包括每項弱點的整體分數。

正如我們已經看到被阻止的XSS通信量增加一樣,國家漏洞數據庫(NVD)中記錄的也與XSS漏洞利用相關的實際漏洞數量也在增加:

  • ‍513過去三個月記錄的XSS漏洞(每月171個)
  • ‍5,507過去三年記錄的XSS漏洞(每月153個)
  • ‍16,936一直記錄XSS漏洞

是的,防禦者使用與攻擊者相同的工具來探測漏洞。 因此,必須認識到惡意流量的存在並不一定意味著流量背後有惡意意圖這一可能性。 但也有可能。

至少,如果好奇的惡意攻擊者成功掃描系統,他們就可能嘗試XSS攻擊,這一切都是出於執行偵察的精神。 更糟糕的是,重建活動以及由此獲得的結果可能會被用於通過XSS丟棄危及或破壞性的有效負載,或被用作更惡毒的工具,例如伺服器端請求偽造(SSRF)。

“這是 ‍Is的階梯,”我看到了嗎?

“我們 ‍Remember前面提到的門把手-搖晃的場景? 現在是重溫這種比喻的時候了。

大多數XSS流量和事件對自身來說可能並不重要,但它們可能會導致重大挑戰和問題,如果您願意,這是成功妥協的踏腳石。

成功的XSS攻擊可能允許攻擊者在受害者的瀏覽器中執行任意HTML和JavaScript。 通常,用戶需要與指向攻擊者控制的頁面的惡意鍊接進行交互,如水坑網站或廣告。

讓我們來看看Q4 2020內部指定為規則ID 941100的首要規則違規,它映射到其中一個最大有效負載,證明瞭將XSS用作步進式攻擊的能力:

“><script >alert (String.fromCharCode(88,83,83)</script>”

這是許多代碼庫(如htmlpurifier.org.⁵)中非常常見的XSS測試字元串。在查找此特定負載是否正常工作時,會顯示帶有字元串“XSS”的彈出警報框,立即向攻擊者驗證特定網站是否容易受到反射的XSS的攻擊。

一旦攻擊者確認反射式XSS存在,「反射式攻擊會透過其他路由(例如電子郵件訊息或其他網站)傳遞。當使用者被欺騙按下惡意連結,提交蓄意製作的表單,甚至只是瀏覽惡意網站時,注入的程式碼會傳送到易受影響的網站,這會將攻擊反映回使用者的瀏覽器。」⁶

圖3 網路攻擊者如何利用XSS漏洞。

此攻擊可以在受攻擊的用戶可以執行的網站上執行任何操作,包括“洩露用戶的會話cookie,允許攻擊者劫持用戶的會話並接管帳戶”。⁷例如,代表用戶提交的更改用戶密碼的腳本可能導致帳戶接管。

還有其他的階梯式例子可以借鑑。 在另一個公開記錄的案例中,SSRF攻擊最初是通過XSS攻擊發起的,安全研究員“能夠從映像內部的XSS升級到在服務器上讀取的任意本地文件”⁸

並非每個研究人員(或網路犯罪分子)都會有足夠的耐心,將他們的XSS攻擊與更有意義的事物聯繫起來。 但是,對於一些研究人員來說,擁有XSS來獲取更大和更好的東西似乎是一種常見的方法,他們希望在他們的bug buty程序中獲得大獎。

‍Mitigation和defense‍

在缺乏數據的情況下,很難作出決定。 但是,一旦您了解情況,就更容易找到一條路徑,引導您實現期望的結果。 以下是一系列提示和資源,可幫助您降低XSS流量給您的網路和業務帶來的風險。

  1. 確保您了解所有面向Internet的設備,並且考慮強化舊系統和測試系統或使其脫機。 在雲基礎設施時代,這一點尤為重要,開發團隊只需點擊幾下滑鼠或提交表單即可啟動機器。
  2. 正確配置和強化Web伺服器。 考慮使用網際網路證券基準中心等工具來了解如何配置伺服器的控制。 正確配置TLS配置以防止MITM攻擊。
  3. 定期修補所有面向Internet的伺服器。 有時,常用框架容易受到XSS的攻擊。 截至2021年2月,MITRE的ATT&CK數據庫列出了近17,000個與XSS相關的漏洞和弱點。
  4. 定期驗證安全強化的有效性。 使用與攻擊者相同的動態應用程式安全測試(DAST)工具,如OWASP ZAP或Kali Linux中的類似漏洞掃描工具。 或者,使用DAST或滲透測試服務來發現和掃描易受攻擊的面向Internet的伺服器。
  5. 啟用Web應用程式防火牆(WAF)以阻止常見攻擊。
  6. 保持WAF更新,立即阻止任何發現的漏洞,從而允許應用程式團隊部署修復程序。 當新規則可用時更新WAF以防止新發現的漏洞。
  7. 啟用日誌記錄並檢查這些日誌。
  8. 使用高度冗餘的權威DNS服務和高度分布式DDoS保護和Web加速服務(即CDN),保護您的網站和關鍵網路基礎設施免受容量攻擊。‍

從n ü data‍ 開始

您可能會對應用程式進行精細調整,以交付內容和一套強大的安全控制措施,幫助降低風險,甚至阻止使其進入內部的攻擊。 但是,為什麼一開始就讓潛在有害的流量進入您的網路? 為什麼要抓住錯過策略或繞過控制的機會?

Verizon Media Security客戶擁有兩種功能,可保護他們免受威脅:

  1. 我們會查看可能有害(或至少不起作用)的網路流量,這些流量會影響您的網站。
  2. 可以啟用集成的Verizon Media WAF來阻止惡意流量,以免其自動成為問題。

要提高Web應用程式的安全性,請立即聯繫我們了解更多資訊。

參考資料

  1. Verizon,“2020 Data Breach Investigations ReportVerizon.com/business.com,enterprise.verizon.com/resources/reports/dbir/。 第7頁
  2. 同上,第88頁。
  3. 同上,第23頁。
  4. CWE,“2020 CWE Top 25 Most Razardous Software News”,CWE.mitre.org,cwe.mitre.org/top25/archive/2020/2020_cwe_top25.html
  5. HTMLsciner,“HTML screen XSS Attacks Smoketest”,HTMLpurifier.org,htmlpurifier.org/live/smoketests/xssAttacks.php
  6. OWASP,“Cross site scripting (XSS)”,owasp.org,owasp.org/www-community/attacks/xss/
  7. 同上
  8. Buerhaus, Brett,“將PhantomJS圖像渲染中的XSS升級到SSRF/local-file read,BUER.Haus. 2020年6月29日。