未整理完
介绍
XSS (Cross site Scripting),跨站脚本攻击,为了区分层叠样式表css,所以叫了XSS。
对于跨站脚本攻击,黑客界共识是:跨站脚本攻击是新型的“缓冲区溢出攻击“,而JavaScript是新型的“ShellCode”。
XSS攻击的危害包括
1、盗取各类用户帐号,如机器登录帐号、用户网银帐号、各类管理员帐号
2、控制企业数据,包括读取、篡改、添加、删除企业敏感数据的能力
3、盗窃企业重要的具有商业价值的资料
4、非法转账
5、强制发送电子邮件
6、网站挂马
7、控制受害者机器向其它网站发起攻击
1)类型A,本地利用漏洞,漏洞存在页面的客户端脚本自身
A给B发送了一段恶意构造后的URL。 B点击了这个URL。恶意页面中的javascript打开一个有漏洞html页面并将其安装在Bob电脑上
于是A的恶意脚本可以在B的电脑上执行B所持有的权限下的命令
2)类型B,反射式漏洞
提交恶意url到服务器端,然后别的用户浏览此页面就会中招
最典型的就是微博2011年的xss漏洞,一个hellosam用户发明的程序。
利用了微博的xss漏洞
使用新浪的短域名服务
当用户访问到此url,js就会自动做下面的事情
a.发微博 啥肉蒲团种子
b.自动关注一个叫hellosam的用户,瞬间关注3万,而且不能取消关注
c.发私信,转播此条信息给好友
http://www.rising.com.cn/newsletter/news/2011-08-18/9621.html