跨站脚本攻击简介

www.net130.com     日期:2010-10-18    浏览次数:
出处:互联网
跨站攻击,即Cross Site Script Execution(通常简写为XSS)是指攻击者利用网站程序对用户输入过滤不足,输入可以显示在页面上对其他用户造成影响的HTML代码,从而盗取用户资料、利用用户身份进行某种动作或者对访问者进行病毒侵害的一种攻击方式。
 
跨站脚本攻击的产生是因为程序员在写程序时候的考虑不周,当然,也可能是根本没有考虑。安全方面有一句著名的话叫做,“永远也不要相信用户的输入”。
 
举个实例来说,你写了一个页面,用来显示用户输入的文章,这里显示用户部分的地方是这样的:
<div id="content"><%=sArticleContent'这里我们假设这个变量是从数据库里面取出的用户输入的文章内容%></div>
如果用户输入的都是像我这篇文章一样的普通文字,那么自然是没有问题,可是如果出现一个二把刀的用户,他一定想写一些html代码来装饰他的文章,而恰恰他只写了<h1>,忘记了后面的闭合标签,那么会出现什么……哈哈,你的页面的后面部分全部被<h1>了,字体大的没法看。之前你精心设计的页面全部乱成了一锅粥。
在这个实例里面,用户输入的只是普通的html字符,那么,他如果输入javascript字符呢,恩,如果是一个喜欢搞恶作剧的用户,也许会输入:<script>alert(document.cookie)</script>。那么会发生什么?对!cookie被暴漏无疑了。他可以利用这样的方法,做其他更危险的事情。
 
说小了,跨站攻击可以简单的就使你的页面布局混乱不堪,而更严重的是,既然骇客可以写入html代码,那他简直可以干你想到的或者你想不到的任何事情了。譬如……<iframe src="网页木马地址" width="0" height="0"></iframe>就可以非常容易的在你的网站上插入指向一个网页木马的隐藏的框架了(通常被称之为“挂马”)。
如果简单的认为,跨站漏洞只可以对访问者造成侵害的话,那就错了。别忘记,在访问带有受到跨站攻击的网页时,你的身份也是普通用户,一方面,如果你中了他放的木马,那么从你机子上就可以轻易的下载到ftp软件中的密码信息,另一方面,如果这个时候你已经登录了管理,那么他是不是可以构造一个管理页面,并且以你的身份,让你不知不觉的操作呢,这是完全可能的,并且是经常出现的。

本新闻共4页,当前在第1页  1  2  3  4  

分享道
相关新闻