概念
XSS全稱為Cross Site Script,即跨站點腳本攻擊,XSS攻擊是最為普遍且中招率最多的web攻擊方式,一般攻擊者通過在網頁惡意植入攻擊腳本來篡改網頁,在使用者浏覽網頁時就能執行惡意的操作,像html、css、img都有可能被攻擊。
像前不久微信貌似就中招,好像是在朋友圈發送一個帶有腳本的連結,然後通過點選該連結就會彈出一個提示,雖然沒有造成什麼影響,但這是XSS攻擊最鮮明的特點。
分類
XSS現在主要分為以下兩種攻擊類型:
1、反射型漏洞
這種類型攻擊者一般通過在網頁中嵌入含有惡意攻擊腳本的連結,或者通過發送帶腳本的連結給受害者,這個腳本連結是攻擊者自己的伺服器,使用者通過點選該連結就能達到攻擊的目的。如
http://www.test.com/p=,這樣受害者的網頁就嵌入了這段腳本,受害者通過點選連結觸發攻擊腳本。
新浪微網誌曾經就出現過一次較為嚴重的XSS攻擊事件,攻擊者通過發送一個帶有連結的微網誌誘導使用者點選,通過點選腳本連結大量使用者自動發送某些不良資訊和私信并自動關注攻擊者的微網誌賬号,這是典型的反射型漏洞。
這次新浪微網誌事件顯然是一次推廣營銷而已,并沒有嚴重影響新浪的服務,然而現實中攻擊者可以通過竊取使用者cookie擷取使用者名密碼等重要資訊來僞造使用者交易、竊取使用者的财産等影響使用者财産安全的惡意行為。
2、存儲型漏洞
這種類型是影響最為廣泛的且危害網站安全自身的攻擊方式,攻擊者通過上傳惡意腳本到網站伺服器或儲存到資料庫中,惡意腳本就會包含在網頁中,這樣會導緻所有浏覽該網頁的使用者有中招的可能。這種攻擊類型一般常見在部落格、論壇等網站中。
防禦手段
1、危險字元過濾
即對使用者輸入的危險字元進行轉義,如>轉義為">", <轉義為"<" ,如果被轉義有誤解,可以對
![【MySQL資料庫】資料庫索引事務1.索引2.事務[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)