概念
跨站腳本 ( Cross-Site Scriptin ) 簡稱xss,是由於Web應用程序對用戶的輸入過濾不足而產生的.攻擊者利用網站漏洞把惡意的腳本代碼(通常包括HTML代碼和客戶端 Javascript腳本)注入到網頁之中,當其他用戶瀏覽這些網頁時,就會執行其中的惡意代碼,對受害用戶可能采取 Cookie資料竊取、會話劫持、釣魚欺騙等各種攻擊.
危害
1、網絡釣魚,包括盜取各類用戶賬號;
2、竊取用戶cookies資料,從而獲取用戶隱私信息,或利用用戶身份進一步對網站執行操作;
3、劫持用戶(瀏覽器)會話,從而執行任意操作,例如進行非法轉賬、強制發表日志、發送電子郵件等;
4、強制彈出廣告頁面、刷流量等;
5、網頁掛馬,進行惡意操作,例如任意篡改頁面信息、刪除文章等;
6、進行大量的客戶端攻擊,如DDoS攻擊;
7、獲取客戶端信息,例如用戶的瀏覽歷史、真實IP、開放端口等;
8、控制受害者機器向其他網站發起攻擊;
9、結合其他漏洞,如CSRF漏洞,實施進一步作惡;
10、提升用戶權限,包括進一步滲透網站;
11、傳播跨站腳本蠕蟲等;