【web安全】Xss Exploits and Defense翻譯4

快速回顧

XSS的歷史

Ø XSS很早就在網上存在。

Ø 1999年，Georgi Guninski和David Ross聯合發表了第一篇關於XSS威脅標題爲「腳本注入」的論文。

Ø 2005年，第一個廣爲人知的XSS蠕蟲病毒***流行社交網站MySpace。

Web應用安全

Ø Web互聯網上有超過800萬網民，100萬個網站，天天交易在網上交易數十億美圓。

Ø 各類基於web軟件的安全統稱爲web 應用安全。

Ø Web的流量常常是被防火牆容許的。

Ø XSS儘管是web應用安全的一小部分領域，可是卻表明着最大的威脅。

XML 和 AJAX介紹

Ø AJAX是一系列技術用來提升web應用程序的用戶體驗，提供更好的可用性，和加快訪問的速度。

Ø AJAX的核心組件是XMLHttpRequest對象，經過瀏覽器提供在請求和回覆上更強大的控制。

Ø DOM是定義怎麼解析XML樹結構的一個W3C標準。

常見問題（FAQ）

下面的常見問答是用來幫助你更好地理解本章的概念。若是對本章有任何疑問能夠瀏覽www.syngress.com/solutions而後點擊「Ask the Author」表單。

Q：HTML注入和XSS有什麼區別？

A：他們確切地說是相同的。在某種狀況下，***者注入有效的HTML標記，然而在其餘狀況下，***者不只注入HTML標記並且嘗試執行一個腳本。

Q：有沒有一些防病毒軟件能夠防護XSS***？

A：沒有。防病毒軟件防護病毒和惡意代碼（可能由XSS漏洞產生）。一些防病毒軟件能夠檢測惡意代碼，可是他們不能防護XSS的發生。

Q：XSS蠕蟲會在我係統上傳播嗎？

A：XSS蠕蟲影響web應用程序，他們惟一能傳播的路徑就是利用XSS漏洞。可是，有不少瀏覽器的BUG能夠致使***你的系統。在那種狀況下，XSS蠕蟲利用瀏覽器bug能夠危害你的系統。

Q：XSS來***爲危害我沒有訪問的在線賬號，是真的嗎？

A：瀏覽器是你信任網絡和不信任網絡的中間件。每次你瀏覽一個網頁，你悄悄下載腳本而後在瀏覽器中的另外一個環境執行。這些腳本能夠訪問內部網絡地址而後他們能夠在內部網絡傳播。

Q：全部的AJAX應用都存在XSS***的漏洞？

A：儘管大多數的web應用有XSS問題，可是要理解的是，XSS是由客戶端/服務端腳本對用戶輸入過濾不嚴格引發的。若是你遵循一個強安全實踐，你能夠預防XSS從過濾或者轉義不但願的字符事件開始。