XSS 趋势和 Internet Explorer

早在 2005 年,跨站点脚本 (XSS) 就被公认为最常报告的一种软件漏洞。Veracode 近期的一项研究使用了来自 Web 黑客事件数据库的数据,其结果表明 XSS 是 Web 应用程序中的最常见漏洞,在现实世界中,被利用实施攻击的可能性位居第二

图表显示跨站点脚本 (XSS) 是最常见漏洞,有 68% 的 Web 应用程序受到其影响。信息泄漏是排名第 2 的漏洞,有 66% 的 Web 应用程序受到其影响。
图表由 Veracode 提供;经许可使用

来自 Microsoft 安全响应中心 (MSRC) 的数据显示,报告的 XSS 漏洞数量呈持续增长态势:

图表显示了报告的跨站点脚本漏洞的增长,从 2004 年的 1%、2005 年的 3%、2006 年的 7%、2007 年的 16%、2008 年的 9%、2009 年的 7%、2010 年的 8% 和 2011 年的 22%,一直到 2012 年上半年的 39%。
报告的 XSS 漏洞数量从 2004 年至 2012 年(上半年)保持持续增长

以上图表显示了 XSS 漏洞如何开始逐年在百分比上超过报告的其他类型漏洞。

为了帮助保护用户,Internet Explorer 率先实施了针对 XSS 的多重缓解技术,包括 httpOnly Cookie、 security=restricted IFRAMEStoStaticHTML() 以及 IE XSS 筛选器。IE10 支持新的 HTML5 标准 IFRAME 沙盒,它使 Web 应用程序开发人员能够更加严密地控制嵌入内容的行为。我们决心继续在这个领域进行投资,因为在现实世界中,数据所面临的 XSS 漏洞数量仍然呈上升趋势。

为了解 IE XSS 筛选器的作用,我们对在 2012 年上半年向 MSRC 报告的所有漏洞进行了深入分析。该分析表明,IE XSS 筛选器当前适用于向 MSRC 报告的 37% 的非法漏洞。(从某些角度来说,另外一个报告很多的漏洞类别是内存安全,涵盖同一数据集中的 24% 漏洞。)

IE XSS 筛选器只是我们浏览器的威胁缓解策略的一个示例,这些策略不仅限于内存安全缓解(例如 ASLR 和 DEP/NX)。随着更多客户和企业开始使用 Web 技术,缓解 XSS 和其他 Web 应用程序漏洞也变得日益重要。我们非常高兴地看到这些缓解手段对 XSS 威胁产生了影响,并且期望将来继续在这一领域中进行创新。

— Microsoft 安全响应中心首席安全软件工程师 David Ross