XSS又叫CSS (Cross Site Script) ，跨站腳本攻擊。它指的是惡意攻擊者往Web頁面里插入惡意腳本代碼，當(dāng)用戶瀏覽該頁之時(shí)，嵌入其中Web里面的腳本代碼會(huì)被執(zhí)行，從而達(dá)到惡意攻擊用戶的特殊目的。XSS屬于被動(dòng)式的攻擊，因?yàn)槠浔粍?dòng)且不好利用，所以許多人常忽略其危害性。

XSS的種類[ ]

XSS攻擊分成兩類，一類是來自內(nèi)部的攻擊，主要指的是利用程序自身的漏洞，構(gòu)造跨站語句，如:dvbbs的showerror.asp存在的跨站漏洞。另一類則是來自外部的攻擊，主要指的自己構(gòu)造XSS跨站漏洞網(wǎng)頁或者尋找非目標(biāo)機(jī)以外的有跨站漏洞的網(wǎng)頁。如當(dāng)我們要滲透一個(gè)站點(diǎn)，我們自己構(gòu)造一個(gè)有跨站漏洞的網(wǎng)頁，然后構(gòu)造跨站語句，通過結(jié)合其它技術(shù)，如社會(huì)工程學(xué)等，欺騙目標(biāo)服務(wù)器的管理員打開。防范措施是Web應(yīng)用程序中最常見的漏洞之一。如果您的站點(diǎn)沒有預(yù)防XSS漏洞的固定法，那么就存在XSS漏洞。這個(gè)利用XSS漏洞的病毒之所以具有重要意義是因?yàn)?，通常難以看到XSS漏洞的威脅，而該病毒則將其發(fā)揮得淋漓盡致。

危害[ ]

跨站腳本(Cross-site scripting，XSS)漏洞是Web應(yīng)用程序中最常見的漏洞之一。站點(diǎn)沒有預(yù)防XSS漏洞的固定方法，那么就存在XSS漏洞。這個(gè)利用XSS漏洞的病毒之所以具有重要意義是因?yàn)?，通常難以看到XSS漏洞的威脅，而該病毒則將其發(fā)揮得淋漓盡致。XSS漏洞的蠕蟲病毒的特別之處在于它能夠自我傳播。 如：站點(diǎn)上的一個(gè)用戶希望自己能夠在網(wǎng)站的友人列表上更“受歡迎”。但是該用戶不是通過普通的方法來結(jié)交新朋友，而是在自己的個(gè)人信息中添加了一些代碼，導(dǎo)致其他人在訪問他的頁面時(shí)，會(huì)不知不覺地利用XSS漏洞將他加為好友。更惡劣的是，它會(huì)修改這些人的個(gè)人信息，使其他人在訪問這些被感染的個(gè)人信息時(shí)，也會(huì)被感染。 1、各類用戶帳號(hào)，如機(jī)器登錄帳號(hào)、用戶網(wǎng)銀帳號(hào)、各類管理員帳號(hào) 2、制企業(yè)數(shù)據(jù)，包括讀取、篡改、添加、刪除企業(yè)敏感數(shù)據(jù)的能力 3、竊企業(yè)重要的具有商業(yè)價(jià)值的資料 4、非法轉(zhuǎn)賬 5、制發(fā)送電子郵件 6、網(wǎng)站掛馬 7、制受害者機(jī)器向其它網(wǎng)站發(fā)起攻擊

攻擊實(shí)例[ ]

攻擊Yahoo Mail 的Yamanner 蠕蟲是一個(gè)著名的XSS 攻擊實(shí)例。Yahoo Mail 系統(tǒng)有一個(gè)漏洞，當(dāng)用戶在web 上察看信件時(shí)，有可能執(zhí)行到信件內(nèi)的Javascript代碼。病毒可以利用這個(gè)漏洞使被攻擊用戶運(yùn)行病毒的script。同時(shí)Yahoo Mail 系統(tǒng)使用了Ajax技術(shù)，這樣病毒的script可以很容易的向Yahoo Mail 系統(tǒng)發(fā)起ajax 請(qǐng)求，從而得到用戶的地址簿，并發(fā)送病毒給他人。

什么是XSS攻擊[ ]

XSS攻擊：跨站腳本攻擊(Cross Site Scripting)，為不和層疊樣式表(Cascading Style Sheets, CSS)的縮寫混淆。故將跨站腳本攻擊縮寫為XSS。XSS是一種經(jīng)常出現(xiàn)在web應(yīng)用中的計(jì)算機(jī)安全漏洞，它允許惡意web用戶將代碼植入到提供給其它用戶使用的頁面中。比如這些代碼包括HTML代碼和客戶端腳本。攻擊者利用XSS漏洞旁路掉訪問控制——例如同源策略(same origin policy)。這種類型的漏洞由于被駭客用來編寫危害性更大的phishing攻擊而變得廣為人知。對(duì)于跨站腳本攻擊，黑客界共識(shí)是：跨站腳本攻擊是新型的“緩沖區(qū)溢出攻擊“，而JavaScript是新型的“ShellCode”?！　?

• XSS攻擊的危害包括:
  • 1、盜取各類用戶帳號(hào)，如機(jī)器登錄帳號(hào)、用戶網(wǎng)銀帳號(hào)、各類管理員帳號(hào) 　　
  • 2、控制企業(yè)數(shù)據(jù)，包括讀取、篡改、添加、刪除企業(yè)敏感數(shù)據(jù)的能力 　　
  • 3、盜竊企業(yè)重要的具有商業(yè)價(jià)值的資料 　　
  • 4、非法轉(zhuǎn)賬 　　
  • 5、強(qiáng)制發(fā)送電子郵件 　　
  • 6、網(wǎng)站掛馬 　　
  • 7、控制受害者機(jī)器向其它網(wǎng)站發(fā)起攻擊
• XSS漏洞的分類　　
  • 類型A，本地利用漏洞，這種漏洞存在于頁面中客戶端腳本自身。其攻擊過程如下所示：Alice給Bob發(fā)送一個(gè)惡意構(gòu)造了Web的URLBob點(diǎn)擊并查看了這個(gè)URL。惡意頁面中的JavaScript打開一個(gè)具有漏洞的HTML頁面并將其安裝在Bob電腦上。具有漏洞的HTML頁面包含了在Bob電腦本地域執(zhí)行的JavaScript。Alice的惡意腳本可以在Bob的電腦上執(zhí)行Bob所持有的權(quán)限下的命令。 　　
  • 類型B，反射式漏洞，這種漏洞和類型A有些類似，不同的是Web客戶端使用Server端腳本生成頁面為用戶提供數(shù)據(jù)時(shí)，如果未經(jīng)驗(yàn)證的用戶數(shù)據(jù)被包含在頁面中而未經(jīng)HTML實(shí)體編碼，客戶端代碼便能夠注入到動(dòng)態(tài)頁面中。其攻擊過程如下：Alice經(jīng)常瀏覽某個(gè)網(wǎng)站，此網(wǎng)站為Bob所擁有。Bob的站點(diǎn)運(yùn)行Alice使用用戶名/密碼進(jìn)行登錄，并存儲(chǔ)敏感信息(比如銀行帳戶信息)。Charly發(fā)現(xiàn)Bob的站點(diǎn)包含反射性的XSS漏洞。Charly編寫一個(gè)利用漏洞的URL，并將其冒充為來自Bob的郵件發(fā)送Alice。 Alice在登錄到Bob的站點(diǎn)后，瀏覽Charly提供的URL。嵌入到URL中的惡意腳本在Alice的瀏覽器中執(zhí)行，就像它直接來自Bob的服務(wù)器一樣。此腳本盜竊敏感信息(授權(quán)、信用卡、帳號(hào)信息等)然后在Alice完全不知情的情況下將這些信息發(fā)送到Charly的Web站點(diǎn)。 　　
  • 類型C，存儲(chǔ)式漏洞，該類型是應(yīng)用最為廣泛而且有可能影響到Web服務(wù)器自身安全的漏洞，駭客將攻擊腳本上傳到Web服務(wù)器上，使得所有訪問該頁面的用戶都面臨信息泄漏的可能，其中也包括了Web服務(wù)器的管理員。

XSS受攻擊事件[ ]

• 新浪微博XSS受攻擊事件

2011年6月28日晚，新浪微博出現(xiàn)了一次比較大的XSS攻擊事件。大量用戶自動(dòng)發(fā)送諸如：“郭美美事件的一些未注意到的細(xì)節(jié)”，“建黨大業(yè)中穿幫的地方”，“讓女人心動(dòng)的100句詩歌”，“3D肉團(tuán)團(tuán)高清普通話版種子”，“這是傳說中的神仙眷侶啊”，“驚爆!范冰冰艷照真流出了”等等微博和私信，并自動(dòng)關(guān)注一位名hellosamy的用戶。

• 事件的經(jīng)過線索如下:
  • 20:14，開始有大量帶V的認(rèn)證用戶中招轉(zhuǎn)發(fā)蠕蟲 　　
  • 20:30，某網(wǎng)站中的病毒頁面無法訪問 　　
  • 20:32，新浪微博中hellosamy用戶無法訪問 　　
  • 21:02，新浪漏洞修補(bǔ)完畢

相關(guān)詞條[ ]

• 計(jì)算機(jī)
• 程序
• 軟件
• 程序設(shè)計(jì)
• 瀏覽器
• 數(shù)據(jù)
• 網(wǎng)站
• CSS

參考來源[ ]

• http://zh.wikipedia.org/wiki/XSS
• http://baike.baidu.com/view/2161269.htm