13、云平台核心网络中Web应用抵御JavaScript蠕虫攻击的防护策略

云平台核心网络中Web应用抵御JavaScript蠕虫攻击的防护策略

1. 引言

在线社交网络（OSN）是促进交流的虚拟场所，如今许多OSN拥有数百万活跃用户，像Facebook就有超过10亿的活跃用户。社交网络不仅用于非正式交流，也用于正式用途。用户会在这些网络上存储大量个人和专业信息，这吸引了黑客的关注，他们会利用这些信息进行恶意活动。

为了给在线用户提供更好的服务，OSN利用JavaScript或相关编程语言平台的能力。然而，这也为JS蠕虫注入漏洞创造了条件，进而引发跨站脚本（XSS）威胁。XSS最初缩写为CSS，因与层叠样式表冲突而改为XSS，由微软工程师在2000年命名。

过去发生过许多利用JS漏洞的XSS攻击事件，如2005年My Space社交网站遭XSS蠕虫“JS. Space hero（Samy）”攻击，超百万用户运行了破坏性有效载荷；2016年eBay的用户登录页面被注入恶意脚本。

当前，JS蠕虫注入攻击是Web应用中常见的漏洞，这主要是由于用户输入验证不正确导致的。而且，由于现代Web应用的复杂性和浏览器调用JS引擎的方式多样，很难消除所有可能的JS蠕虫注入。最初，XSS攻击分为存储型XSS和非持久型XSS，2005年又定义了基于DOM的XSS。

在云计算时代，云安全备受关注。许多商业IT组织通过访问OSN服务来使用云计算功能，而非采用昂贵的传统计算方式。在Web 2.0和HTML5技术时代，OSN是信息共享的常用方式，但云计算环境下也存在许多互联网基础设施Web应用漏洞。

根据相关报告，XSS攻击是Web应用最关键的安全问题。2015年有33%的Web应用易受XSS攻击，到2017年这一比例增至5