跨站腳本攻擊(Cross-site scripting,簡稱XSS攻擊),通常發(fā)生在客戶端,可被(bèi)用于進(jìn)行隐私竊取、釣魚欺騙、密碼偷取、惡意代碼傳播等攻擊行爲。XSS攻擊使用到的技術主要爲HTML和Javascript腳本,也包括VBScript和ActionScript腳本等。
惡意攻擊者將(jiāng)對(duì)客戶端有危害的代碼放到服務器上作爲一個網頁内容,用戶不經(jīng)意打開(kāi)此網頁時,這(zhè)些惡意代碼會(huì)注入到用戶的浏覽器中并執行,從而使用戶受到攻擊。一般而言,利用跨站腳本攻擊,攻擊者可竊取會(huì)話cookie,從而獲得用戶的隐私信息,甚至包括密碼等敏感信息。
XSS攻擊對(duì)Web服務器本身雖無直接危害,但是它借助網站進(jìn)行傳播,對(duì)網站用戶進(jìn)行攻擊,竊取網站用戶賬号信息等,從而也會(huì)對(duì)網站産生較嚴重的危害。XSS攻擊可導緻以下危害:
釣魚欺騙:最典型的就(jiù)是利用目标網站的反射型跨站腳本漏洞將(jiāng)目标網站重定向(xiàng)到釣魚網站,或者通過(guò)注入釣魚JavaScript腳本以監控目标網站的表單輸入,甚至攻擊者基于DHTML技術發(fā)起(qǐ)更高級的釣魚攻擊。
網站挂馬:跨站時,攻擊者利用Iframe标簽嵌入隐藏的惡意網站,將(jiāng)被(bèi)攻擊者定向(xiàng)到惡意網站上、或彈出惡意網站窗口等方式,進(jìn)行挂馬攻擊。
身份盜用:Cookie是用戶對(duì)于特定網站的身份驗證标志,XSS攻擊可以盜取用戶的cookie,從而利用該cookie盜取用戶對(duì)該網站的操作權限。如果一個網站管理員用戶的cookie被(bèi)竊取,將(jiāng)會(huì)對(duì)網站引發(fā)巨大的危害。
盜取網站用戶信息:當竊取到用戶cookie從而獲取到用戶身份時,攻擊者可以盜取到用戶對(duì)網站的操作權限,從而查看用戶隐私信息。
垃圾信息發(fā)送:在社交網站社區中,利用XSS漏洞借用被(bèi)攻擊者的身份發(fā)送大量的垃圾信息給特定的目标群。
劫持用戶Web行爲:一些高級的XSS攻擊甚至可以劫持用戶的Web行爲,從而監視用戶的浏覽曆史、發(fā)送與接收的數據等等。
XSS蠕蟲:借助XSS蠕蟲病毒還(hái)可以用來打廣告、刷流量、挂馬、惡作劇、破壞網上數據、實施DDoS攻擊等。