XSS&Phishing 2011.6.29

1. XSS&Phishing 2011.6.29

2. xss简介 • 跨站脚本攻击(Cross Site Scripting) • 攻击者往Web页面里插入恶意html代码，当用户浏览该页之时，嵌入Web里面的html代码会在用户客户端被执行，从而达到恶意用户的特殊目的。 • OWASP top10 仅次于注入

3. xss危害 • 窃取使用者COOKIE，获取用户个人资料 • 假冒用户身份，获得访问授权 • 将用户浏览器导向钓鱼网站，骗取用户密码等敏感信息 • 将用户浏览器导向挂马网站，安装木马后门等

4. xss分类 • 存储式XSS • 反射式XSS • 基于DOM的XSS

5. 存储型XSS • MySpace.com • Samy • XSS蠕虫

6. 反射型XSS

7. 基于DOM的XSS • http://www.DBXSS.com/welcome.html?name=zhangsan • <SCRIPT> • var pos=docmnent.URL.indexOf("name=")+5; • document.write (document.URL.substring(pos,document.URL.1ength));< /SCRIPT> • http://www.DBXSS.com/welcome.html?name=<script>alert("XSS")</script>

8. xss的防范 • 在输入方面对所有用户提交内容进行可靠的输入验证，提交内容包括URL、查询关键字、http头、post数据等 • 在输出方面，在用户输内容中使用<XMP>标签。标签内的内容不会解释，直接显示 • 严格执行字符输入字数控制 • 在脚本执行区中，不应有用户的输入

9. What is Phishing? • fishing • 攻击者通过社会工程学或技术手段利用伪造的 Web 站点来进行诈骗的网络行为 • Anti-Phishing Working Group (APWG) www.antiphishing.org • 目前有超过1800个公司和政府机构加入APWG

10. 网络钓鱼的现状

11. 网络钓鱼现状

12. 钓鱼方式 • 通过聊天工具发送钓鱼链接 • 在搜索引擎、中小网站投放广告，吸引用户点击钓鱼网站 • 通过Email、论坛、博客、微博等批量发布钓鱼网站链接 • 仿冒邮件，例如银行密码重置 • 病毒木马、流氓软件弹窗 • 伪装成用户输入网址时易发生的错误，如gogle. com

13. 案例

14. 案例

15. 与搜索引擎的关系 • 竞价排名 • 钓鱼网站甚至排到正规网站之前 • 用户疏忽或缺乏分辨能力 • 个人认为，搜索引擎应负有直接责任

16. 网络钓鱼的防范 • 完善相关法律 • 技术防护(软件过滤、黑名单) • 安全教育

17. 相关学习 • Mitnick & Simon “The Art of Deception” (Wiley) • Jakobsson & Myers “Phishing and Anti-phishing” (Wiley, mid ‘06)

18. Thank you Questions?