xss(跨站腳本攻擊)

xss(跨站腳本攻擊)

本詞條是多義詞,共2個義項
更多義項 ▼ 收起列表 ▲

跨站腳本攻擊(Cross Site Scripting),為了不和層疊樣式表(Cascading Style Sheets, CSS)的縮寫混淆,故將跨站腳本攻擊縮寫為XSS。惡意攻擊者往Web頁面里插入惡意的Script代碼,當用戶瀏覽該頁之時,嵌入其中Web裡面的Script代碼會被執行,從而達到惡意攻擊用戶的目的。

基本介紹

  • 中文名跨站腳本攻擊
  • 外文名:XSS
  • 全稱:Cross Site Scripting
  • 類型:攻擊代碼
種類,防範措施,工作流程,

種類

XSS攻擊分成兩類,一類是來自內部的攻擊,主要指的是利用程式自身的漏洞,構造跨站語句,如:dvbbs的showerror.asp存在的跨站漏洞
'http://www.xss.tw/2408''http://www.xss.tw/2408'
另一類則是來自外部的攻擊,主要指的自己構造XSS跨站漏洞網頁或者尋找非目標機以外的有跨站漏洞的網頁。如當我們要滲透一個站點,我們自己構造一個有跨站漏洞的網頁,然後構造跨站語句,通過結合其它技術,如社會工程學等,欺騙目標伺服器的管理員打開。
XSS分為:存儲型和反射型
存儲型XSS:存儲型XSS,持久化,代碼是存儲在伺服器中的,如在個人信息或發表文章等地方,加入代碼,如果沒有過濾或過濾不嚴,那么這些代碼將儲存到伺服器中,用戶訪問該頁面的時候觸發代碼執行。這種XSS比較危險,容易造成蠕蟲,盜竊cookie(雖然還有種DOM型XSS,但是也還是包括在存儲型XSS內)。
反射型XSS:非持久化,需要欺騙用戶自己去點擊連結才能觸發XSS代碼(伺服器中沒有這樣的頁面和內容),一般容易出現在搜尋頁面。

防範措施

XSS漏洞是Web應用程式中最常見的漏洞之一。如果您的站點沒有預防XSS漏洞的固定方法,那么就存在XSS漏洞。這個利用XSS漏洞的病毒之所以具有重要意義是因為,通常難以看到XSS漏洞的威脅,而該病毒則將其發揮得淋漓盡致。

工作流程

1)惡意用戶,在一些公共區域(例如,建議提交表單或訊息公共板的輸入表單)輸入一些文本,這些文本被其它用戶看到,但這些文本不僅僅是他們要輸入的文本,同時還包括一些可以在客戶端執行的腳本。如:
xss
<script>
this.document = "*********";
</script>
2)惡意提交這個表單
3)其他用戶看到這個包括惡意腳本的頁面並執行,獲取用戶的cookie等敏感信息。

相關詞條

熱門詞條

聯絡我們