在困扰现代应用程序的所有漏洞中,跨站脚本攻击(XSS)是最古老且最顽固的漏洞之一。
尽管二十多年来跨站脚本攻击(XSS)一直是已知的威胁,但从遗留系统到新型云原生架构,它仍然存在于各类系统中。
微软安全响应中心(MSRC)最近强调了这一威胁的持久性,称其在各类服务和应用中持续收到稳定数量的跨站脚本(XSS)报告。
在最近的一份报告中,微软安全响应中心(MSRC)分享了关于跨站脚本(XSS)漏洞的普遍性及其影响的见解,强调即使采用了内容安全策略(CSP)和默认安全库等先进安全措施,这种威胁仍然十分严重。
自2024年1月以来,微软安全响应中心(MSRC)已缓解了970多起跨站脚本(XSS)攻击案例,这体现了管理此类漏洞所需的持续努力。
数字看XSS
2024年7月至2025年7月期间,跨站脚本(XSS)漏洞占微软安全响应中心(MSRC)处理的所有“重要”或“严重”安全案例的15%。
在此期间,该中心处理了265起具体的跨站脚本(XSS)案例,其中263起被评为“重要”,2起被评为“严重”。为表彰发现这些漏洞的安全研究人员,微软共为跨站脚本漏洞颁发了912,300美元的奖金。
针对高影响的跨站脚本(XSS)攻击,例如涉及令牌窃取或零点击漏洞利用的攻击,支付的最高单笔赏金为20,000美元。
这些漏洞并非局限于某一款产品,而是在微软的多款主要服务中都有报告。
针对Microsoft Copilot、Microsoft 365、Dynamics 365、Microsoft Identity、Microsoft Azure和Xbox的漏洞奖励计划均收到了跨站脚本(XSS)提交。
这些报告来自内部和外部研究人员,经常详细介绍了绕过净化逻辑以及利用现代Web框架中各种行为的方法。
XSS的影响
并非所有跨站脚本(XSS)漏洞都具有相同的风险。微软会根据这些问题对客户造成的实际影响来确定其优先级。
数据泄露的可能性、利用漏洞所需的用户交互程度以及整体可利用性等因素决定了漏洞的严重程度。
微软安全响应中心(MSRC)采用一种将数据分类与漏洞利用条件相结合的矩阵来评定严重程度等级。
- 严重级别: 零点击跨站脚本攻击(XSS)若会泄露高度机密数据(如会话令牌或敏感Cookie),则被评定为严重级别。
- 重要严重程度:如果跨站脚本攻击(XSS)需要一些用户交互,但仍可能泄露机密信息,那么它通常被评为“重要”。
- 中/低严重性:公共页面上的跨站脚本攻击(XSS)若未导致敏感数据泄露,或攻击场景要求用户自行实施攻击(自我XSS),则被视为较低严重性。
微软还阐明了哪些类型的跨站脚本(XSS)漏洞不在服务范围内。
其中包括自跨站脚本攻击(self-XSS),这种攻击要求用户手动将有效负载粘贴到其浏览器的开发者控制台中,以及仅在非标准或过时的浏览器(如Internet Explorer)中才会执行的漏洞。
同样,在PDF的受限环境中执行JavaScript通常不符合条件,除非它能够逃逸到权限更高的环境中。
为帮助安全研究人员,微软安全响应中心(MSRC)提供了一份提交跨站脚本(XSS)报告的清单,强调需要清晰、可复现的步骤、无需开发者工具即可运行的概念验证,以及对安全影响的详细说明,例如令牌窃取或会话劫持。
1. 本版块文章内容及资料部分来源于网络,不代表本站观点,不对其真实性负责,也不构成任何建议。
2. 部分内容由网友自主投稿、编辑整理上传,本站仅提供交流平台,不为该类内容的版权负责。
3. 本版块提供的信息仅作参考,不保证信息的准确性、有效性、及时性和完整性。
4. 若您发现本版块有侵犯您知识产权的内容,请及时与我们联系,我们会尽快修改或删除。
5. 使用者违规、不可抗力(如黑客攻击)或第三方擅自转载引发的争议,联盟不承担责任。
6. 联盟可修订本声明,官网发布即生效,继续使用视为接受新条款。
