XSS又叫CSS (Cross Site Script) ，跨站腳本攻擊。它指的是惡意攻擊者往Web頁面里插入惡意腳本代碼，當用戶瀏覽該頁之時，嵌入其中Web里面的腳本代碼會被執(zhí)行，從而達到惡意攻擊用戶的特殊目的。XSS屬于被動式的攻擊，因為其被動且不好利用，所以許多人常忽略其危害性。

XSS的種類

　　XSS攻擊分成兩類，一類是來自內(nèi)部的攻擊，主要指的是利用程序自身的漏洞，構(gòu)造跨站語句，如:dvbbs的showerror.asp存在的跨站漏洞。另一類則是來自外部的攻擊，主要指的自己構(gòu)造XSS跨站漏洞網(wǎng)頁或者尋找非目標機以外的有跨站漏洞的網(wǎng)頁。如當我們要滲透一個站點，我們自己構(gòu)造一個有跨站漏洞的網(wǎng)頁，然后構(gòu)造跨站語句，通過結(jié)合其它技術(shù)，如社會工程學等，欺騙目標服務(wù)器的管理員打開。防范措施是Web應(yīng)用程序中最常見的漏洞之一。如果您的站點沒有預(yù)防XSS漏洞的固定法，那么就存在XSS漏洞。這個利用XSS漏洞的病毒之所以具有重要意義是因為，通常難以看到XSS漏洞的威脅，而該病毒則將其發(fā)揮得淋漓盡致。

危害

　　跨站腳本(Cross-site scripting，XSS)漏洞是Web應(yīng)用程序中最常見的漏洞之一。站點沒有預(yù)防XSS漏洞的固定方法，那么就存在XSS漏洞。這個利用XSS漏洞的病毒之所以具有重要意義是因為，通常難以看到XSS漏洞的威脅，而該病毒則將其發(fā)揮得淋漓盡致。XSS漏洞的蠕蟲病毒的特別之處在于它能夠自我傳播。 如：站點上的一個用戶希望自己能夠在網(wǎng)站的友人列表上更“受歡迎”。但是該用戶不是通過普通的方法來結(jié)交新朋友，而是在自己的個人信息中添加了一些代碼，導致其他人在訪問他的頁面時，會不知不覺地利用XSS漏洞將他加為好友。更惡劣的是，它會修改這些人的個人信息，使其他人在訪問這些被感染的個人信息時，也會被感染。 1、各類用戶帳號，如機器登錄帳號、用戶網(wǎng)銀帳號、各類管理員帳號 2、制企業(yè)數(shù)據(jù)，包括讀取、篡改、添加、刪除企業(yè)敏感數(shù)據(jù)的能力 3、竊企業(yè)重要的具有商業(yè)價值的資料 4、非法轉(zhuǎn)賬 5、制發(fā)送電子郵件 6、網(wǎng)站掛馬 7、制受害者機器向其它網(wǎng)站發(fā)起攻擊

攻擊實例

攻擊Yahoo Mail 的Yamanner 蠕蟲是一個著名的XSS 攻擊實例。Yahoo Mail 系統(tǒng)有一個漏洞，當用戶在web 上察看信件時，有可能執(zhí)行到信件內(nèi)的Javascript代碼。病毒可以利用這個漏洞使被攻擊用戶運行病毒的script。同時Yahoo Mail 系統(tǒng)使用了Ajax技術(shù)，這樣病毒的script可以很容易的向Yahoo Mail 系統(tǒng)發(fā)起ajax 請求，從而得到用戶的地址簿，并發(fā)送病毒給他人。

什么是XSS攻擊

XSS攻擊：跨站腳本攻擊(Cross Site Scripting)，為不和層疊樣式表(Cascading Style Sheets, CSS)的縮寫混淆。故將跨站腳本攻擊縮寫為XSS。XSS是一種經(jīng)常出現(xiàn)在web應(yīng)用中的計算機安全漏洞，它允許惡意web用戶將代碼植入到提供給其它用戶使用的頁面中。比如這些代碼包括HTML代碼和客戶端腳本。攻擊者利用XSS漏洞旁路掉訪問控制——例如同源策略(same origin policy)。這種類型的漏洞由于被駭客用來編寫危害性更大的phishing攻擊而變得廣為人知。對于跨站腳本攻擊，黑客界共識是：跨站腳本攻擊是新型的“緩沖區(qū)溢出攻擊“，而JavaScript是新型的“ShellCode”。　　

• XSS攻擊的危害包括:
  • 1、盜取各類用戶帳號，如機器登錄帳號、用戶網(wǎng)銀帳號、各類管理員帳號 　　
  • 2、控制企業(yè)數(shù)據(jù)，包括讀取、篡改、添加、刪除企業(yè)敏感數(shù)據(jù)的能力 　　
  • 3、盜竊企業(yè)重要的具有商業(yè)價值的資料 　　
  • 4、非法轉(zhuǎn)賬 　　
  • 5、強制發(fā)送電子郵件 　　
  • 6、網(wǎng)站掛馬 　　
  • 7、控制受害者機器向其它網(wǎng)站發(fā)起攻擊
• XSS漏洞的分類　　
  • 類型A，本地利用漏洞，這種漏洞存在于頁面中客戶端腳本自身。其攻擊過程如下所示：Alice給Bob發(fā)送一個惡意構(gòu)造了Web的URLBob點擊并查看了這個URL。惡意頁面中的JavaScript打開一個具有漏洞的HTML頁面并將其安裝在Bob電腦上。具有漏洞的HTML頁面包含了在Bob電腦本地域執(zhí)行的JavaScript。Alice的惡意腳本可以在Bob的電腦上執(zhí)行Bob所持有的權(quán)限下的命令。 　　
  • 類型B，反射式漏洞，這種漏洞和類型A有些類似，不同的是Web客戶端使用Server端腳本生成頁面為用戶提供數(shù)據(jù)時，如果未經(jīng)驗證的用戶數(shù)據(jù)被包含在頁面中而未經(jīng)HTML實體編碼，客戶端代碼便能夠注入到動態(tài)頁面中。其攻擊過程如下：Alice經(jīng)常瀏覽某個網(wǎng)站，此網(wǎng)站為Bob所擁有。Bob的站點運行Alice使用用戶名/密碼進行登錄，并存儲敏感信息(比如銀行帳戶信息)。Charly發(fā)現(xiàn)Bob的站點包含反射性的XSS漏洞。Charly編寫一個利用漏洞的URL，并將其冒充為來自Bob的郵件發(fā)送Alice。 Alice在登錄到Bob的站點后，瀏覽Charly提供的URL。嵌入到URL中的惡意腳本在Alice的瀏覽器中執(zhí)行，就像它直接來自Bob的服務(wù)器一樣。此腳本盜竊敏感信息(授權(quán)、信用卡、帳號信息等)然后在Alice完全不知情的情況下將這些信息發(fā)送到Charly的Web站點。 　　
  • 類型C，存儲式漏洞，該類型是應(yīng)用最為廣泛而且有可能影響到Web服務(wù)器自身安全的漏洞，駭客將攻擊腳本上傳到Web服務(wù)器上，使得所有訪問該頁面的用戶都面臨信息泄漏的可能，其中也包括了Web服務(wù)器的管理員。
• 其攻擊過程如下：Bob擁有一個Web站點，該站點允許用戶發(fā)布信息/瀏覽已發(fā)布的信息。Charly注意到Bob的站點具有類型C的XXS漏洞。Charly發(fā)布一個熱點信息，吸引其它用戶紛紛閱讀。Bob或者是任何的其他人如Alice瀏覽該信息，其會話cookies或者其它信息將被Charly盜走。類型A直接威脅用戶個體，而類型B和類型C所威脅的對象都是企業(yè)級Web應(yīng)用，目前天清入侵防御產(chǎn)品所能防范的XSS攻擊包括類型B和類型C。

XSS受攻擊事件

• 新浪微博XSS受攻擊事件

2011年6月28日晚，新浪微博出現(xiàn)了一次比較大的XSS攻擊事件。大量用戶自動發(fā)送諸如：“郭美美事件的一些未注意到的細節(jié)”，“建黨大業(yè)中穿幫的地方”，“讓女人心動的100句詩歌”，“3D肉團團高清普通話版種子”，“這是傳說中的神仙眷侶啊”，“驚爆!范冰冰艷照真流出了”等等微博和私信，并自動關(guān)注一位名hellosamy的用戶。

• 事件的經(jīng)過線索如下:
  • 20:14，開始有大量帶V的認證用戶中招轉(zhuǎn)發(fā)蠕蟲 　　
  • 20:30，某網(wǎng)站中的病毒頁面無法訪問 　　
  • 20:32，新浪微博中hellosamy用戶無法訪問 　　
  • 21:02，新浪漏洞修補完畢

相關(guān)詞條

• 計算機
• 程序
• 軟件
• 程序設(shè)計
• 瀏覽器
• 數(shù)據(jù)
• 網(wǎng)站
• CSS

參考來源

• http://zh.wikipedia.org/wiki/XSS
• http://baike.baidu.com/view/2161269.htm