# 最好的防御
在过去超过十年的时间里,反病毒界一直依赖于快速的反应时间来限制蠕虫和病毒所造成的损害。随着新一代 的恶意软件的飞速发展,在事件被稳定前,可能会损失数百万,甚至数十亿美元。这种情况要求我们将采取步骤, 确定疫情的发生和防止问题的发生放在第一位。以下是为了限制这些新品种的病毒和蠕虫的影响而为用户,开发人 员,安全专家和浏览器厂商提供的明确的步骤:
## 用户
1\. 点击链接发送电子邮件或即时消息时一定要谨慎。可疑的过长链接,尤其是那些看起来像是包含 HTML 代码 的链接。如果有疑问,手动输入网址到您的浏览器地址栏进行访问。
2\. 对于 XSS 漏洞,没有网络浏览器有一个明显的安全优势。话虽如此,但作者喜欢 Firefox 浏览器。为了获得 额外的安全性,可以考虑安装一些浏览器插件,如 NoScript25(Firefox 扩展插件)或 Netcraft 工具栏 26。
3\. 虽然不是 100%有效,但是避开可疑网站,如那些提供黑客自动化工具,warez,或色情的网站是明智的。
## 开发者
1\. 对于开发人员来说,首先需要注意的是应该对所有用户提交的内容执行坚如磐石输入验证。这包括网址,查 询字符串,header,POST 数据等所有用户提交的内容。只接受您所希望的字符,在您指定的长度内,和指定 的相应的数据的格式。组织,过滤,或忽略一切。
2\. 保护被自动执行或来自第三方网站执行的所有敏感功能。在适当的情况使用会话令牌 27、验证码 28 系统或者 HTTP 引用头检查。
3\. 如果您的网站必须支持用户提供的 HTML,那么你是处在一个安全明智的下滑坡。然而,也有一些事情可以 做,来保护您的网站。请确保您收到的 HTML 内容是良好的,只包含最少的一组安全标签(绝对没有 JavaScript), 没有包含任何引用远程的内容(尤其是样式表和 JavaScript)。而且,为了多一点的安全性,请将 httpOnly29 添 加到您的 cookie
## 安全专家
1\. 只有一种方法才能确定您的安全做法提供了足够的保障,那就是经常测试他们。在黑客攻击网站前了解你的 漏洞是是至关重要的。要做到这一点,网站的脆弱性评估是要进行的。报告应提供一个对您的网站的安全的 全面的审视,并描述他们如何应对和进行模拟攻击。WhiteHat Security 提供了一个以 Web 安全威胁分类(WASC) 为测试标准的自动化的漏洞扫描与专家驱动分析的组合方法。
2\. 正确地评估一个网站的安全性可能需要几十个,数以百计,数以千计的安全测试。许多需要手工完成。这就 是为什么 WhiteHat 的 Sentinel 在这样的服务的过程中是一个重要组成部分。源代码和黑盒子扫描产品可以减少人员在开发阶段中测试 Web 应用程序的时间。
3\. 当您的网站绝对没有任何问题了,考虑 Web 应用防火墙(WAF)作为一个额外的防御层。它们可以用来配置 用您的网站的规则并强有力的执行。任何超出规则外的行为将被阻止或者记录。由于这些设备大多是高度多 样化和复杂,可以考虑使用 Web 应用防火墙评价标准(WAFEC)作为比较的工具。
## 浏览器厂商
1\. Mozilla(火狐),微软和 Opera 开发团队必须开始正式实施内容限制。现实的情况是,等待 Web 应用软件减 少 XSS 漏洞的任何一种方法都是是不现实的,更不用说减少了 100%。
2\. Mozilla(Firefox)开发者,请执行 httpOnly,它已经出现这么多年了。