Xss跨站腳本攻擊:是一種經(jīng)常出現(xiàn)在web應(yīng)用程序當(dāng)中的計(jì)算機(jī)安全漏洞为狸,由于web應(yīng)用程序?qū)τ脩糨斎脒^濾不足而導(dǎo)致的。攻擊者利用網(wǎng)站漏洞把惡意代碼(通常包括HTML代碼和客戶端Javascript腳本)注入到網(wǎng)頁之中的荐捻,當(dāng)其他用戶瀏覽這些網(wǎng)頁的時(shí)候,就會(huì)執(zhí)行其中的惡意代碼浩螺,對(duì)受害用戶可能采取Cookie資料竊取靴患、會(huì)話劫持、釣魚欺騙等等要出。
由于和層疊樣式表(Cascading Style Sheet鸳君,css)縮寫一樣,改成了xss
xss并未對(duì)web造成傷害但是它借助網(wǎng)絡(luò)進(jìn)行傳播患蹂,使大量的用戶遭到攻擊或颊。攻擊者一般通過留言砸紊、電子郵件、或其他途徑發(fā)送一個(gè)精心構(gòu)造的URL囱挑,當(dāng)受害者點(diǎn)擊URL時(shí)醉顽,惡意腳本就在你的PC上悄悄執(zhí)行
xss流行的因素:
1.瀏覽器的本身設(shè)計(jì)是不安全的,瀏覽器包含了解析和執(zhí)行Javascript等腳本語言的能力平挑,這些語言可以用來創(chuàng)建各種格式豐富的功能游添,而瀏覽器只會(huì)執(zhí)行,不會(huì)判斷數(shù)據(jù)和程序代碼是否惡意
2.輸入與輸出是web應(yīng)用程序最基本的交互通熄,在這過程之間若么有做好安全防護(hù)唆涝,web程序很容易出現(xiàn)XSS
3.現(xiàn)在的應(yīng)用程序大部分是通過團(tuán)隊(duì)合作完成的,程序員水平層次不齊唇辨,很少有人受過正規(guī)的安全培訓(xùn)廊酣,開發(fā)出來的產(chǎn)品難免有問題。
4.不管是開發(fā)人員還是安全工程師赏枚,很多都沒有真正的意識(shí)到XSS漏洞的危害亡驰,導(dǎo)致這類漏洞普遍遭到忽視,很多企業(yè)甚至缺乏專門的安全工程師饿幅,或者不愿意在安全問題上花費(fèi)更多的時(shí)間
5.觸發(fā)跨站腳本的方式非常簡單凡辱,只要向HTML代碼中注入腳本就行了,而且執(zhí)行此類攻擊的手段眾多诫睬,譬如利用css煞茫、flash等等。如今的XSS技術(shù)運(yùn)用如此靈活多變摄凡,很難做到安全防御
6.web2.0的流行续徽,網(wǎng)站的交互功能越來越豐富,web2.0鼓勵(lì)信息分享與交互亲澡,這樣用戶就有了更多機(jī)會(huì)去查看和修改他人得信息钦扭,比如通過論壇、blog或社交網(wǎng)絡(luò)床绪,于是黑客也就有了更廣闊的空間發(fā)動(dòng)攻擊客情。
XSS是雞肋的漏洞啊癞己?沒什么好利用的地方膀斋,只能彈出對(duì)話框,稍微有點(diǎn)危害的就是用來盜取用戶Cookies資料和網(wǎng)頁掛馬痹雅。
通常情況下仰担,攻擊者通過注入如alert(/xss/)之類的js代碼來證明xss,該代碼能夠?qū)е聭?yīng)用程序彈消息框绩社。從技術(shù)上來講摔蓝,雖然證明了xss漏洞的存在赂苗,但是并未反映其真實(shí)的危害!贮尉!
xss可能不像sql注入拌滋,文件上傳等能夠直接得到較高權(quán)限的操作,但是它的運(yùn)作十分靈活猜谚,只要思維開拓败砂,和其他的技術(shù)一起運(yùn)用,xss威力很大的魏铅。
運(yùn)用AJAX技術(shù)的xss威脅很大(不明白)吠卷,比如著名的Samy跨站蠕蟲腳本造成了sns的癱瘓
簡單危害如下:
1.網(wǎng)絡(luò)釣魚,包括盜取各類賬戶
2.竊取用戶cookies資料沦零,從而獲取用戶隱私信息,或者利用用戶身份進(jìn)一步對(duì)網(wǎng)站執(zhí)行操作
3.劫持用戶(瀏覽器)會(huì)話货岭,執(zhí)行操作路操,如進(jìn)行非法轉(zhuǎn)賬,強(qiáng)制發(fā)表日志千贯,發(fā)電子郵件等
4.強(qiáng)制彈出廣告頁面屯仗、刷流量等;
5.網(wǎng)頁掛馬
6.進(jìn)行惡意操作搔谴,例如任意篡改網(wǎng)頁頁面信息魁袜,刪除文章等
7.進(jìn)行大量的客戶端攻擊,如DDOS攻擊
8.獲取客戶端信息,例如用戶的訪問歷史敦第,真實(shí)IP峰弹,開放端口等
9.結(jié)合其他漏洞,如csrf芜果,實(shí)施進(jìn)一步作惡鞠呈;
10.控制受害機(jī)器向其他網(wǎng)站發(fā)起攻擊
11.提升用戶權(quán)限,滲透網(wǎng)站
12.傳播跨站腳本蠕蟲病毒..
附:html復(fù)制不上右钾,就懶得上傳實(shí)例了
