二、跨站脚本攻击的应对措施
那么该采取什么样的应对措施呢?对此笔者给出以下几个意见,供大家参考。
一是采取的防火墙等安全产品,最好支持一些智能的算法,即可以根据某个特定的规则来发现可疑的还未确认的木马。这主要是因位Web木马的变异性太快。如果等到确认了再进行预防的话,那么中招的客户端已经不在少数了。现在有不少的算法都带有一定的智能分析功能。如VXID算法,就是一种将规则分析和异常分析相结合的技术。这里的规则指的是建立虚拟机检测规则的过程,而异常分析指的就是符合Web攻击模型的可疑行为。这种算法主要的核心工作就是信息收集,然后再收集的信息的基础上进行分析、判断是否有新变异的木马,然后得出具有针对性的判断结果。不过其往往只是将这种可疑的情况汇报给管理员,最终还是需要管理员根据经验与技术来判断,这种可疑的行为到底是否是木马。
二是需要加强日常的监控。如需要设置一些警告的规则,当出现意外情况时,即使像管理员报告。如管理员可以根据历史的数据,分析出企业平均每分钟发邮件的数量。众所周知,发垃圾邮件或者木马邮件,其往往采用的是群发或者自动发送的机制,其一分钟之内一个账号发送的邮件就可以达到几百封、甚至是上千封。正常情况下,企业邮件的发送数量是达不到这个程度的。那么就可以设置对应的规则,当出现这种意外的情况时,暂时停止邮件的转发,并通过相关的手段向管理员发送警报。对于Web网站来说,也是相同的道理,需要加强监控。特别是需要分析网页中有没有其他非经授权的用户添加了代码,或者网页有没有自动连接其他网站的行为。这些都可以通过相关的工具或者事件日志分析出来。
总之,跨站脚本攻击与Web木马结合,虽然具有多变性等特点。但是只要我们最好日常的防护措施,并提高安全意识,还是可以将其消除在萌芽状态的。或者说,至少可以将其损失降低到可以接受的范围之内。