跨站腳本攻擊(Cross-site scripting,簡稱XSS攻擊),通(tōng)常發生(shēng)在客戶端,可被用于進行隐私竊取、釣魚欺騙、密碼偷取、惡意代碼傳播等攻擊行為(wèi)。XSS攻擊使用到(dào)的技(jì)術(shù)主要為(wèi)HTML和Javascript腳本,也包括VBScript和ActionScript腳本等。
惡意攻擊者将對客戶端有危害的代碼放(fàng)到(dào)服務器(qì)上(shàng)作為(wèi)一(yī)個(gè)網頁内容,用戶不經意打開(kāi)此網頁時,這些惡意代碼會(huì)注入到(dào)用戶的浏覽器(qì)中并執行,從(cóng)而使用戶受到(dào)攻擊。一(yī)般而言,利用跨站腳本攻擊,攻擊者可竊取會(huì)話cookie,從(cóng)而獲得用戶的隐私信息,甚至包括密碼等敏感信息。
XSS攻擊對Web服務器(qì)本身雖無直接危害,但是它借助網站進行傳播,對網站用戶進行攻擊,竊取網站用戶賬号信息等,從(cóng)而也會(huì)對網站産生(shēng)較嚴重的危害。XSS攻擊可導緻以下(xià)危害:
釣魚欺騙:最典型的就(jiù)是利用目标網站的反射型跨站腳本漏洞将目标網站重定向到(dào)釣魚網站,或者通(tōng)過注入釣魚JavaScript腳本以監控目标網站的表單輸入,甚至攻擊者基于DHTML技(jì)術(shù)發起更高(gāo)級的釣魚攻擊。
網站挂馬:跨站時,攻擊者利用Iframe标簽嵌入隐藏的惡意網站,将被攻擊者定向到(dào)惡意網站上(shàng)、或彈出惡意網站窗(chuāng)口等方式,進行挂馬攻擊。
身份盜用:Cookie是用戶對于特定網站的身份驗證标志(zhì),XSS攻擊可以盜取用戶的cookie,從(cóng)而利用該cookie盜取用戶對該網站的操作權限。如果一(yī)個(gè)網站管理員(yuán)用戶的cookie被竊取,将會(huì)對網站引發巨大的危害。
盜取網站用戶信息:當竊取到(dào)用戶cookie從(cóng)而獲取到(dào)用戶身份時,攻擊者可以盜取到(dào)用戶對網站的操作權限,從(cóng)而查看(kàn)用戶隐私信息。
垃圾信息發送:在社交網站社區中,利用XSS漏洞借用被攻擊者的身份發送大量的垃圾信息給特定的目标群。
劫持用戶Web行為(wèi):一(yī)些高(gāo)級的XSS攻擊甚至可以劫持用戶的Web行為(wèi),從(cóng)而監視用戶的浏覽曆史、發送與接收的數據等等。
XSS蠕蟲:借助XSS蠕蟲病毒還(hái)可以用來打廣告、刷流量、挂馬、惡作劇、破壞網上(shàng)數據、實施DDoS攻擊等。