跨站腳本攻擊
XSS攻擊,全稱爲Cross Site Scripting,即跨站腳本攻擊,是一種代碼注入攻擊。攻擊者通過在有XSS漏洞的網站中注入惡意的HTML代碼,當其他用戶瀏覽該網站時,這段代碼會自動執行,從而達到攻擊的目的。這些惡意網頁程序通常是JavaScript,但實際上也可以包括Java、VBScript、ActiveX、Flash或者甚至是普通的HTML。攻擊成功後,攻擊者可能得到包括但不限於更高的權限、私密網頁內容、會話和cookie等各種內容。
XSS攻擊需要具備兩個條件:需要向web頁面注入惡意代碼;這些惡意代碼能夠被瀏覽器成功地執行。XSS攻擊有2種類型:
DOM Based XSS漏洞(反射型攻擊):惡意代碼並沒有保存在目標網站,通過引誘用戶點擊一個鏈接到“目標網站的惡意鏈接”來實施攻擊的。反射型攻擊是一種基於網頁DOM結構的攻擊,該攻擊特點是中招的人是少數人。
Stored XSS漏洞(存儲型攻擊):惡意代碼被保存到目標網站的服務器中,這種攻擊具有較強的穩定性和持久性;由於其攻擊代碼已經存儲到服務器上或者數據庫中,所以受害者是很多人。