我要投稿

歡迎您隨時向我們投遞您的稿件

什么是跨站腳本攻擊XSS呢?

一、跨站腳本(Cross-site scripting,簡稱XSS),是一種迫使Web站點回顯可執行代碼的攻擊技術,而這些可執行代碼由攻擊者提供、最終為用戶瀏覽器加載。不同于大多數攻擊(一般只涉及攻擊者和受害者),XSS涉及到三方,即攻擊者、客戶端與網站。XSS的攻擊目標是為了盜取客戶端的cookie或者其他網站用于識別客戶端身份的敏感信息。獲取到合法用戶的信息后,攻擊者甚至可以假冒最終用戶與網站進行交互。 

XSS漏洞成因是由于動態網頁的Web應用對用戶提交請求參數未做充分的檢查過濾,允許用戶在提交的數據中摻入HTML代碼(最主要的是“>”、“<”),然后未加編碼地輸出到第三方用戶的瀏覽器,這些攻擊者惡意提交代碼會被受害用戶的瀏覽器解釋執行。


二、XSS縮寫來源? 依照英文縮寫習慣,簡稱跨站腳本為CSS。這樣會引起它和另一個名詞“層疊樣式表”(Cascading Style Sheets,CSS)的混淆。此CSS非彼CSS。為了以示區別,一些安全人士就習慣將跨站腳本簡稱為XSS。 


三、XSS存在哪些威脅? 攻擊者可以利用XSS漏洞、借助存在漏洞的Web網站攻擊其他瀏覽相關網頁的用戶,竊取用戶瀏覽會話中諸如用戶名和口令(可能包含在cookie里)的敏感信息、通過插入惡意代碼對用戶執行掛馬攻擊。XSS漏洞還可能被攻擊者用于網頁篡改,只是多數情況為了經濟利益最大化,攻擊者不會直接進行篡改。 


四、XSS舉例 2005年,一位叫Samy的MySpace用戶自創了一種XSS蠕蟲,24小時內,其網絡空間朋友數目成功從73上升到1百萬。 2006年,PayPal遭到XSS攻擊,攻擊者將PayPal站點的訪問者重定向到一個新的頁面,上面警告用戶他們的帳號已經不再安全,需要重新設置,并提示輸入PayPal的登錄信息、用戶社保信息及信用卡信息。 2008年5月,eBay承認其PayPal頁面存在XSS漏洞,該漏洞會被攻擊者用于盜取用戶證書或cookie。

主辦單位:上海市信息網絡安全管理協會

地址:上海市閘北區秣陵路100號1917室    郵編:200070

本站所有內容均為上海市信息網絡安全管理協會所有,不經上海市信息網絡安全管理協會授權不得轉載

免费五码复式连码