筆者認為,這篇文章的完成,是一件高興的事。由于本文是國内首本專門論述XSS的著作,是以本文的推出,為學習網絡安全的新人提供了充足的學習材料,同時也為安全工作者提供了一份不可多得的參考手冊,必将促使大家更加重視XSS安全技術。XSS攻擊的危害一直未被多數開發者正确認識,甚至一些網絡安全工作者也認為XSS「危害不大」。引起這一誤解的原因很多。XSS攻擊的危害是與特定的業務場景息息相關的。由于業務場景的不同,導緻了不同的網絡安全問題,其中有些場景風險大,有些場景風險小。但XSS作為一種漏洞類型,在描述其定義時很難将其定位到具體情況中。XSS攻擊的危害程度,取決于業務場景的重要性程度。
本人在阿裡巴巴工作期間,曾辦理過淘寶、支付寶詐騙案件。那時發現的許多案例,XSS漏洞都是用來進行網購釣魚的。騙子通過即時通訊軟體向使用者發送了一個XSS連結,使用者點選後,就會自動跳轉到該網頁,最終導緻資金損失。這種情況下,騙子利用XSS使連結的域名成為真正合法的網站,進而繞過了所有安全軟體的檢查。那時,我曾粗略估計過一個XSS漏洞造成的損失,如果算上使用者損失的數量,再加上站點的修複費用,每個XSS漏洞都将帶來超過500,000人民币的損失。
此外,曾有許多網絡犯罪利用WebMail的XSS漏洞盜取目标使用者的郵箱,這種定點滲透攻擊造成的損失常常是難以衡量的。XSS攻擊也與浏覽器有密切關系,在不同的浏覽器上表現不一樣。由于網際網路,浏覽器的版本更新很快。是以,要想熟練掌握XSS的防範技能,就必須對不同浏覽器的特性有深刻的了解。與攻擊服務端的漏洞相比,XSS針對的是用戶端。一般情況下,開發人員、網站安全工程師都會更加關注攻擊伺服器的安全漏洞。但站在使用者的角度,或者說站在整個網絡安全的角度,XSS的安全應該受到高度重視。
XSS攻擊可以控制目标浏覽器執行的任何操作,是以,也會導緻使用者資料、使用者隐私的洩露。這一點在資料時代顯得特别敏感。但如今許多網站的使用者資料沒有被妥善保管,許多爬蟲、第三方抓取軟體或多或少都能從網站上抓取到一些使用者資料,這讓XSS的危害看起來不那麼突出。但是這本書将告訴你,XSS所能做的遠比你想象的要多得多,這點非常重要。針對于目前網站上的安全問題凸顯,幾乎每個站點都或多或少地存在XSS跨站漏洞。這衆多的XSS漏洞就像是網際網路上的一片雷區,沒有人知道他們何時會爆炸,造成損失。伴随着JavaScript和HTML5技術的發展,越來越多的網站和移動應用開始采用更先進的前端技術,是以XSS攻擊的更新也就不可避免了。未來十年,XSS攻擊可能會帶來質的變化,并注定将成為網際網路安全領域中值得長期關注的熱點。若之前忽略了XSS的安全性,那麼希望,從本文開始,能夠引起足夠的重視。