跨站脚本攻击(英文缩写为 XSS)指的是将恶意代码注入到其他受信任的网站中。当网络犯罪分子将恶意脚本注入目标网站的内容中,然后将其包含在传送到受害者浏览器的动态内容中时,就会发生跨站脚本攻击。
什么是跨站脚本
跨站脚本攻击(英文缩写为 XSS)指的是将恶意代码注入到其他受信任的网站中。当网络犯罪分子将恶意脚本注入目标网站的内容中,然后将其包含在传送到受害者浏览器的动态内容中时,就会发生跨站脚本攻击。受害者的浏览器无从得知恶意脚本并不可信,因此会执行这些脚本。
因此,恶意脚本可以访问由浏览器保留、并在该站点中使用的任何 Cookie、会话令牌或其他敏感信息。攻击者还可以使用 XSS 来传播恶意软件,重写网站内容,在社交网络上制造麻烦以及通过网络钓鱼获取用户凭据。XSS 与其他 Web 攻击的不同之处在于,它并非直接针对应用程序本身。相反,Web 应用程序的用户处于危险之中。
延伸阅读:
跨站脚本的工作原理
跨站脚本的原理是操纵易受攻击的网站,以便将恶意脚本返回给用户。通常,这涉及 JavaScript,但也可以使用任何客户端语言。网络犯罪分子以适当的网站作为目标,这些网站通过易受攻击的功能来接受用户输入,例如搜索栏、评论框或登录表单。犯罪分子将他们的恶意代码附加到合法网站之上,本质上是在网站加载时欺骗浏览器执行他们的恶意软件。
由于 JavaScript 在受害者的浏览器页面上运行,因此可以从会话中窃取与经过身份验证的用户有关的敏感详细信息,从而使不法分子可以将站点管理员作为目标并入侵网站。
根据代码的注入方式,恶意内容甚至可能不在实际的网页本身上,而是作为一种瞬态元素,在利用漏洞时仅表现为网站的一部分。这可能会造成实际网站遭到入侵的错觉,而实际上并非如此。
可通过不同的方法触发 XSS 攻击。例如,可以在页面加载或用户将光标悬停在特定页面元素(例如超链接)上时自动触发执行。在某些情况下,XSS 会更直接地执行,例如在电子邮件中。一些 XSS 攻击没有特定的目标;攻击者只是利用应用程序或站点中的漏洞,从而利用任何不幸成为受害者的人。
根据攻击的规模,用户帐户可能被盗用,木马程序激活,页面内容发生修改,从而误导用户泄露他们的隐私数据。会话 Cookie 可能会被泄露,使犯罪者能够冒充真实用户并滥用他们的私人帐户。
成功的跨站脚本攻击会对在线企业的声誉及其与客户的关系造成毁灭性的后果。不幸的是,允许 XSS 攻击取得成功的缺陷非常普遍。XSS 攻击可以利用各种编程环境中的漏洞,包括 VBScript、Flash、ActiveX 和 JavaScript。XSS 主要针对 JavaScript,因为该语言与大多数浏览器紧密集成。这种利用常用平台的能力使 XSS 攻击既危险又广泛。
文章标题:什么是跨站脚本,发布者:小编,转载请注明出处:https://worktile.com/kb/p/30880
微信扫一扫 
支付宝扫一扫 
