阿里巴巴集团web安全标准ver1.4.pdfVIP

集团 web 安全标准 ver 目的 本文档是为了让大家对各种 web 安全威胁的产生原因、常见攻 击手段有更深入的了解，并且作为各种web 安全威胁的修补方案标准， 以便大家能够快速的定位漏洞代码和解除安全隐患。 目录 第一章页面展示 Cross Site Script 安全威胁 Cross Site Script （XSS），跨站脚本攻击。 攻击者利用应用程序的动态展示数据功能，在 html 页面里嵌入 恶意代码。当用户浏览该页之时，这些嵌入在 html 中的恶意代码会被 行，用户浏览器被攻击者控制，从而达到攻击者的特殊目的。 跨站脚本攻击有两种攻击形式 1、反射型跨站脚本攻击 攻击者会通过社会工程学手段，发送一个 URL 连接给用户打 开，在用户打开页面的同时，浏览器会 行页面中嵌入的恶意脚本。 2、存储型跨站脚本攻击 攻击者利用 web 应用程序提供的录入或修改数据功能，将数据 存储到服务器或用户cookie 中，当其他用户浏览展示该数据的页面时， 浏览器会 行页面中嵌入的恶意脚本。所有浏览者都会受到攻击。 3、DOM 跨站攻击 由于html 页面中，定义了一段JS，根据用户的输入，显示一段 html 代码，攻击者可以在输入时，插入一段恶意脚本，最终展示时，会 行恶意脚本。 DOM 跨站和以上两个跨站攻击的差别是，DOM 跨站是纯页面 脚本的输出，只有规范使用 JAVASCRIPT，才可以防御。 恶意攻击者可以利用跨站脚本攻击做到： 1、盗取用户 cookie，伪造用户身份登录。 2、控制用户浏览器。 3、结合浏览器及其插件漏洞，下载病毒木马到浏览者的计算机 上 行。 4、衍生 URL 跳转漏洞。 5、让官方网站出现钓鱼页面。 6、蠕虫攻击 代码示例 直接在 html 页面展示“用户可控数据”，将直接导致跨站脚本威胁。 Java 示例： 某 JSP 文件 while(rs.next()) { % tr td%=rs.getInt(id) %/td td%=rs.getString(pname)%/td td%=rs.getString(pdesc)%/td td%=rs.getString(ptype)%/td /tr % } 代码中这几个加粗的变量“rs.getInt(id)、rs.getString(pname)、 rs.getString(pdesc)、rs.getString(ptype)”，被直接输出到了页面中， 没有做任何安全过滤，一旦让用户可以输入数据，都可能导致用户浏 览器把“用户可控数据” 当成 JS/VBS 脚本 行，或页面元素被“用户可 控数据”插入的页面 HTML 代码控制，从而造成攻击。 PHP 代码示例 tr td?=$row[id] ?/td td?=$row[pname]?/td td?=$row[pdesc]?/td td?=$row[ptype]?/td /tr 攻击实例 如果“代码示例” 中的代码，是 上的一个 web 应用，恶 意用户可以做以下攻击。 攻击流程： 1、 添加产品时插入恶意脚本 攻击者发布产品后，等待用户来浏览产品列表页面。 2、 一个用户浏览了页面 页面代码 页面中直接显示了攻击者当时提交的“pdesc”的内容，也就是恶 意脚本。 将 行这个