一、公共互联网网络安全预警信息

（一）情况综述
　　2021年3月，我省互联网络总体运行情况良好。基础网络运行总体平稳，互联网骨干网各项监测指标正常，未发生较大以上网络安全事件。

（二）本月网络安全威胁处置情况
　　本月，吉林省通信管理局按照及时响应、快速处置的工作原则共处置网络安全威胁179起，其中恶意程序受控事件恶意程序受控事件132起、网络安全漏洞31起、恶意程序传播域名16起。发布吉林省公共互联网网络安全预警信息通报3期。

（三）本月重要威胁情况
　　1.跨站脚本漏洞

（1）威胁描述

Web程序没有对攻击者提交的含有可执行代码的输入进行有效验证，在某页面返回给访问该Web程序的任意用户，可能导致这些代码在用户的浏览器解释执行。

Web站点把用户的输入未做过滤就直接输出到页面，参数中的特殊字符打破了HTML页面的原有逻辑，黑客可以利用该漏洞执行任意HTML/JS代码。这里所说的用户输入包括用户提交的GET、POST 参数，还包含HTTPReferrer头，甚至是用户的Cookie。

（2）事件危害

l 账号劫持-攻击者可以在会话cookie过期之前劫持用户的会话，并以用户的权限执行操作，如发布数据库查询并查看结果。

l 恶意脚本执行-用户可能在不知情的情况下执行攻击者注入到动态生成页面中的JavaScript、VBScript、 ActiveX、HTML 甚至Flash内容。

l 蠕虫传播-通过Ajax应用，与CSRF漏洞结合，跨站脚本可以以类似于病毒的方式传播。跨站脚本负载可以自动将其自身注入到页面中，并通过更多的跨站脚本轻易的重新注入同一主机，而所有这些都无需手动刷新页面。因此，跨站脚本可以使用复杂的HTTP方式发送多个请求，并以用户不可视的方式自我传播。

l 信息窃取-攻击者可以通过重新定向和伪造站点将用户连接到攻击者所选择的恶意服务器并获得用户所输入的任何信息。

l 拒绝服务-通常攻击者通过在包含有跨站脚本漏洞的站点上使用畸形的显示请求，就可以导致主机站点反复的自我查询，出现拒绝服务的情况。

l 浏览器重新定向-在某些使用帧的站点上，用户可能在实际上已经被重新定向到恶意站点的情况下误导为仍处在原始站点上，因为浏览权地址栏中的URL仍保持不变。这是由于没有重新定向整个页面，而只是执行JavaScript的帧。

l 控制用户设置-攻击者可以恶意更改用户设置。

（3）修复建议

l 对输入数据严格匹配，比如只接受数字输入的就不能输入其他字符。不仅要验证数据的类型，还要验证其格式、长度、范围和内容。

l 输入过滤，应该在服务器端进行。PHP在设置magic_ quotes_gpc 为On的时候，会自动转义参数中的单双引号，但这不足以用于XSS漏洞的防御，仍然需要在代码级别防御。

l 编码时使用ESAPI库或其他antixss库。

l 针对UTF-7XSS,应指定网页字符集编码。使用’Content-Type’头或标记。

l 针对MHTMLXSS，将url参数值中的%0d、%0a、 %0D、 %0A 删除。严格限制URL参数输入值的格式，不能包含不必要的特殊字符(0d、%0a等)。