摘要：应客户要求，渗透测试工程师针对XSS跨站漏洞进行了测试，在短时间内就收集到多个用户的Cookies，发现Cookies信息里包含用户密码的MD5值。

　　XSS跨站漏洞经测试都可以被嵌入恶意网页、自动发送短信息、网络钓鱼等。OA系统的多处XSS漏洞，如果被人恶意利用，严重的话就会在OA系统内产生XSS蠕虫病毒。
　　
　　XSS攻击案例
　　
　　仅在2009年上半年，著名的社交网站校内网就爆发了多处的XSS Worm威胁，就在前几天在校内网又爆发了Flash XSS Worm威胁，现在已经有许多的用户执行恶意代码并受到了各种病毒威胁。相信08年的QQMail的XSS跨站漏洞大家都还记忆犹新，当你打开一封QQ好友发来的信件时，恶意代码已经悄悄被你执行了，此时你主机可能成为黑客的一台肉机。
　　
　　XSS跨站漏洞
　　
　　XSS攻击：跨站脚本攻击(Cross Site Scripting)，为不和层叠样式表(Cascading Style Sheets,CSS)的缩写混淆。故将跨站脚本攻击缩写为XSS。XSS是一种经常出现在Web应用中的计算机安全漏洞，它允许恶意Web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML代码和客户端脚本。攻击者利用XSS漏洞旁路掉访问控制——例如同源策略(same origin policy)。这种类型的漏洞由于被骇客用来编写危害性更大的phishing攻击而变得广为人知。对于跨站脚本攻击，黑客界共识是：跨站脚本攻击是新型的“缓冲区溢出攻击“，而Java Script是新型的“Shell Code”。
　　
　　XSS漏洞的特点：
　　
　　(1)XSS跨站漏洞种类多样性：
　　
　　XSS攻击语句可插入到、URL地址参数后面、输入框内、img标签及DIV标签等HTML函数的属性里、Flash的getURL()动作等地方都会触发XSS漏洞。
　　
　　(2)XSS跨站漏洞代码多样性：
　　
　　为了躲避转义HTML特殊字符函数及过滤函数的过滤，XSS跨站的代码使用“/”来代替安字符“””、使用Tab键代替空格、部分语句转找成16进制、添加特殊字符、改变大小写及使用空格等来绕过过滤函数。
　　
　　如果在您的新闻系统发现安全漏洞，如果该漏洞是一个SQL注入漏洞，那么该漏洞就会得到您的网站管理员密码、可以在主机系统上执行shell命令、对数据库添加、删除数据。如果在您的新闻或邮件系统中发现安全漏洞，如果该漏洞是一个XSS跨站漏洞，那么可以构造一些特殊代码，只要你访问的页面包含了构造的特殊代码，您的主机可能就会执行木马程序、执行盗取Cookies代码、突然转到一个银行及其它金融类的网站、泄露您的网银及其它账号与密码等。
　　
　　现在Web业务系统的安全防护意见不统一，最早我们以为使用了防火墙关闭了危险端口、安装了杀毒软件我们的信息系统将会很安全。现在随着企业对信息安全重示及关主度的提高，开始为自己的信息安全部署入侵预防系统(IPS:Intrusion Prevension System)来提高信息系统的安全性，由于技术等各方面因素制约，IPS并不能100%正确分析入侵行为，从而可能会阻断有用信息，导致业务系统的客户获取信息不全，因此不适用于对数据完整性有较高要求的场合。
　　
　　因IPS存在的一定的误报性，所以一些企业会把IPS的高危险策略的动作由阻断改为忽略。IPS的检测技术流程是攻击者向我们服务器提交恶意的代码时，我们的IPS会做它做出一个动作是阻断还是放行，只有攻击者在向我们服务器进行攻击时我们才IPS才会做出动作，所以我们不能真正了解目前我们的Web信息系统的安全状态，我们信息系统的安全一直处在被动的状态。我们的信息系统同样得不到真正的安全，那怎么来保护我们信息系统的安全呢？
　　
　　主动出击防护您的信息系统
　　
　　联想网御安全服务部成立多年来，一直关注于国内信息安全的发展趋势，目前，应用安全已经成为信息安全中的重点。应用系统是客户的业务、生产系统的基本组成，应用系统安全才是客户目前都迫切解决的安全。针对目前客户所面临信息安全的状况，联想网御把以往的安全服务项目做了一个针对性的调整，推出了“Web应用安全服务”。
　　
　　Web应用安全服务是针对客户的Web应用系统首先由专业渗透测试工程师对Web应用系统进行渗透测试;具有安全编程的工程师对Web源代码进行安全审计;对客户的网络环境进行安全评估;最后把渗透测试、源代码审计、网络评估的安全加固，做出一个全面有针对性的安全加固方案。全面对主机系统、Web应用服务器、网络设备进行安全加固，保证客户的Web应用安全，使客户安全放心使用信息系统。
　　
　　责任编辑：Lily