XSS&Phishing

2011.6.29

XSS&XSS&PhishingPhishing

xssxss 简介简介

跨站脚本攻击 (Cross Site Scripting) 攻击者往 Web 页面里插入恶意 html 代

码，当用户浏览该页之时，嵌入 Web里面的 html 代码会在用户客户端被执行，从而达到恶意用户的特殊目的。

OWASP top10 仅次于注入

XSS&XSS&PhishingPhishing

xssxss 危害危害

窃取使用者 COOKIE ，获取用户个人资料

假冒用户身份，获得访问授权 将用户浏览器导向钓鱼网站，骗取用户

密码等敏感信息 将用户浏览器导向挂马网站，安装木马

后门等

XSS&XSS&PhishingPhishing

xssxss 分类分类

存储式 XSS 反射式 XSS 基于 DOM 的 XSS

XSS&XSS&PhishingPhishing

存储型 XSS

MySpace.com Samy XSS 蠕虫

XSS&XSS&PhishingPhishing

反射型 XSS

XSS&XSS&PhishingPhishing

基于 DOM 的 XSS

http://www.DBXSS.com/welcome.html?name=zhangsan

<SCRIPT> var pos=docmnent.URL.indexOf("name=")+5; document.write (document.URL.substring(pos,d

ocument.URL.1ength));< /SCRIPT> http://www.DBXSS.com/welcome.html?name=<

script>alert("XSS")</script>

XSS&XSS&PhishingPhishing

xssxss 的防范的防范 在输入方面对所有用户提交内容进行可

靠的输入验证，提交内容包括 URL 、查询关键字、 http 头、 post 数据等

在输出方面，在用户输内容中使用 <XMP> 标签。标签内的内容不会解释，直接显示

严格执行字符输入字数控制 在脚本执行区中，不应有用户的输入

XSS&XSS&PhishingPhishing

What is Phishing?What is Phishing?

fishing 攻击者通过社会工程学或技术手段利用

伪造的 Web 站点来进行诈骗的网络行为

Anti-Phishing Working Group (APWG) www.antiphishing.org

目前有超过 1800 个公司和政府机构加入APWG

XSS&XSS&PhishingPhishing

网络钓鱼的现状网络钓鱼的现状

网络钓鱼现状

XSS&XSS&PhishingPhishing

钓鱼方式钓鱼方式 通过聊天工具发送钓鱼链接 在搜索引擎、中小网站投放广告，吸引

用户点击钓鱼网站 通过 Email 、论坛、博客、微博等批量

发布钓鱼网站链接 仿冒邮件，例如银行密码重置 病毒木马、流氓软件弹窗 伪装成用户输入网址时易发生的错误，

如 gogle. com

XSS&XSS&PhishingPhishing

案例案例

XSS&XSS&PhishingPhishing

案例案例

XSS&XSS&PhishingPhishing

与搜索引擎的关系

竞价排名 钓鱼网站甚至排到正规网站之前 用户疏忽或缺乏分辨能力 个人认为，搜索引擎应负有直接责任

XSS&XSS&PhishingPhishing

网络钓鱼的防范

完善相关法律 技术防护 ( 软件过滤、黑名单 ) 安全教育

相关学习• Mitnick & Simon “The Art of Deception”

(Wiley)

• Jakobsson & Myers “Phishing and Anti-phishing” (Wiley, mid ‘06)

XSS&XSS&PhishingPhishing

Thank youThank you

Questions?Questions?