网安云Logo
icon_account
科普
什么是跨站脚本攻击?
2024-01-05 11:15:07
134
0
跨站脚本攻击,又叫XSS攻击。是指:攻击者将恶意脚本代码嵌入到正常用户会访问到的页面中,当正常用户访问该页面时,则可导致嵌入的恶意脚本代码的执行,入侵用户账户,窃取用户信息或执行更具危险性的侵犯行为。

XSS攻击有多种攻击类型,分为三大类 - 存储XSS反射 XSS 、基于 DOM 的 XSS。



01 存储跨站脚本(持久型 XSS)


存储 XSS,也称为持久型 XSS,被视为是最具破坏性的 XSS 攻击类型。


当用户提供的输入被存储,在网页中呈现时,就会发生存储 XSS。


存储 XSS 的典型入口:消息论坛、博客评论、用户资料和用户名字段。


漏洞攻击方式:在网站的热门页面上,注入 XSS 恶意内容、将链接传递给受害者。诱骗他们查看包含存储 XSS 恶意内容的页面。受害者一旦访问该页面,受害者的 Web 浏览器便在客户端执行恶意内容。


举个通俗栗子吧。


法外狂徒“张三”,在浏览某论坛时,发现了一个漏洞:他可以假装成普通用户提交一条评论,此评论中包含恶意攻击代码,一旦评论提交,恶意代码将被持久化保存到服务器上。


这里的恶意代码为了便于您理解,我们可以把它当成一个“沉默的炸弹”。这个“炸弹”一旦嵌入,将永久地 “藏身” 于这个页面其余的代码中。


假若有用户打开这个页面,法外狂徒”张三“就能轻松访问用户的个人信息和财务数据等等。


所以,无论用户有多谨慎,只要访问了受感染的网页,不需要其他操作,就会在不知不觉中受到攻击。


02 反射跨站脚本(非持久型 XSS)


反射 XSS(也称为非持久型 XSS)是最常见的一种。


攻击者使用恶意链接、网络钓鱼电子邮件,或者其他社会工程技术,来诱骗受害者向服务器发出请求。在用户的浏览器中执行反射 XSS 恶意内容。


攻击者需要将恶意内容传递给每个受害者,通常使用社交网络进行。



03 基于 DOM 的跨站脚本


基于 DOM 的 XSS 是指:出现在 DOM而非 HTML 中的跨站脚本漏洞。


在反射和存储跨站脚本攻击中,可以在响应页面看到漏洞恶意内容,但在基于 DOM 的跨站脚本攻击中,在响应中找不到恶意内容。只能在运行时,或通过调查页面的 DOM 来进行观察。


基于 DOM 的 XSS 攻击通常是客户端攻击,恶意内容永远不会发送到服务器。这使得 Web 应用程序防火墙 (WAF) 和分析服务器日志的安全工程师更难进行检测,因为他们从未发现攻击。


我们可以在系统上线前通过软件安全在线检测服务,来揪出这些容易被黑客利用的漏洞!从源头把系统薄弱点给补上,这样就能很好地降低类似的安全风险啦。


如果您也有以上顾虑,害怕遭受跨站脚本攻击的话,可以联系安全顾问,体验一下软件安全在线检测服务哟~


安全顾问:莫经理13711866550


点击此处,了解软件安全在线检测服务详情

item.title
安全专家服务
item.title
专业售后支持
item.title
1V1大客户服务
item.title
7 * 24小时

热门产品

支持服务

控制台
在线支持

快速入门

文档中心

法律协议

网安云平台服务协议
网安云平台隐私政策

关注或联系我们

公众号二维码
添加网安云公众号,关注热门产品资讯。
联系我们联系我们
客服
免费试用
获取资源