軟體詞典:跨站攻擊(Cross Site Scripting)

2008-08-15 10:38作者:論壇整理出處:天極網軟體頻道責任編輯:Shiny

跨站攻擊是指駭客在遠端Web頁面的HTML代碼中插入具有惡意目的的數據,但是當信賴該頁面的用戶用瀏覽器下載該頁面時,嵌入其中的腳本指令碼將被秘密執行,陷入駭客設下的圈套。

比如:駭客可以偽造一封含Hotmail官方網頁的信件,官方網頁應該是駭客保存來的,但駭客進行了修改,添加了特定的惡意攻擊代碼。一旦用戶在該網頁進行登錄,MSN賬號和密碼就會被秘密發送到駭客指定的郵箱中。

跨站攻擊的代碼在網上比較多,大多數隻在駭客圈內流傳。如果駭客利用攻擊代碼入侵成功後,他們可以盜取用戶帳戶、修改用戶設定、盜取Cookie,做虛假廣告等。


  小知識:人們經常將跨站指令碼攻擊(Cross Site Scripting)縮寫為CSS,但這會與重疊顯示樣式錶(Cascading Style Sheets, CSS)的縮寫混淆。因此有人將跨站指令碼攻擊縮寫為XSS。如果有人告訴你說他發現了一個XSS漏洞,那麼我們可以明白無誤的判斷,他一定說的是跨站指令碼攻擊。

留言