?????? 跨站腳本(Cross-Site Scripting,XSS)是一種經常出現在Web應用程序中的計算機安全漏洞,是由于Web應用程序對用戶的輸入過濾不足而產生的。攻擊者利用網站漏洞把惡意的腳本代碼(通常包括HTML代碼和客戶端Javascript腳本)注入到網頁之中,當其他用戶瀏覽這些網頁時,就會執行其中的惡意代碼,對受害用戶可能采取Cookie資料竊取、會話劫持、釣魚欺騙等各種攻?擊。
?????? 由于和另一種網頁技術——層疊樣式表(Cascading Style Sheets,CSS)的縮寫一樣,為了防止混淆,故把原本的CSS簡稱為XSS。
?????? XSS跨站腳本攻擊本身對Web服務器沒有直接危害,它借助網站進行傳播,使網站的大量用戶受到攻擊。攻擊者一般通過留言、電子郵件或其他途徑向受害者發送一個精心構造的惡意URL(結合社會工程學),當受害者在Web瀏覽器中打開該URL的時侯,惡意腳本會在受害者的計算機上悄悄執行。
XSS產生原因:
(1)Web瀏覽器本身的設計是不安全的。瀏覽器包含了解析和執行JavaScript等腳本語言的能力,這些語言可用來創建各種格式豐富的功能,而瀏覽器只會執行,不會判斷數據和程序代碼是否惡意。
(2)輸入與輸出是Web應用程序最基本的交互,在這過程之中若沒做好安全防護,Web程序很容易會出現XSS漏洞。
(3)現在的應用程序大部分是通過團隊合作完成的,程序員之間的水平參差不齊,很少有人受過正規的安全培訓,因此,開發出來的產品難免存在問題。
(4)不管是開發人員還是安全工程師,很多都沒有真正意識到 XSS 漏洞的危害,導致這類漏洞普遍受到忽視。很多企業甚至缺乏專門的安全工程師,或者不愿意在安全問題上花費更多的時間和成本。
(5)觸發跨站腳本的方式非常簡單,只要向 HTML 代碼中注入腳本即可,而且執行此類攻擊的手段眾多,譬如利用CSS、Flash等。XSS技術的運用如此靈活多變,要做到完全防御是一件相當困難的事情。
(6)隨著Web 2.0的流行,網站上交互功能越來越豐富。Web 2.0鼓勵信息分享與交互,這樣用戶就有了更多的機會去查看和修改他人的信息,比如通過論壇、Blog 或社交網絡,于是黑客也就有了更廣闊的空間發動XSS攻擊。
