編輯“XSS”

'''XSS'''又叫[[CSS]] (Cross Site Script) ，跨站[[腳本]]攻擊。它指的是惡意攻擊者往Web頁(yè)面里插入惡意腳本代碼，當(dāng)用戶瀏覽該頁(yè)之時(shí)，嵌入其中Web里面的腳本代碼會(huì)被執(zhí)行，從而達(dá)到惡意攻擊用戶的特殊目的。XSS屬于被動(dòng)式的攻擊，因?yàn)槠浔粍?dòng)且不好利用，所以許多人常忽略其危害性。
==XSS的種類==
　　XSS攻擊分成兩類，一類是來(lái)自內(nèi)部的攻擊，主要指的是利用[[程序]]自身的[[漏洞]]，構(gòu)造跨站語(yǔ)句，如:dvbbs的showerror.asp存在的跨站漏洞。另一類則是來(lái)自外部的攻擊，主要指的自己構(gòu)造XSS跨站漏洞網(wǎng)頁(yè)或者尋找非目標(biāo)機(jī)以外的有跨站漏洞的網(wǎng)頁(yè)。如當(dāng)我們要滲透一個(gè)站點(diǎn)，我們自己構(gòu)造一個(gè)有跨站漏洞的網(wǎng)頁(yè)，然后構(gòu)造跨站語(yǔ)句，通過(guò)結(jié)合其它技術(shù)，如社會(huì)工程學(xué)等，欺騙目標(biāo)服務(wù)器的管理員打開(kāi)。防范措施是Web應(yīng)用程序中最常見(jiàn)的漏洞之一。如果您的站點(diǎn)沒(méi)有預(yù)防XSS漏洞的固定法，那么就存在XSS漏洞。這個(gè)利用XSS漏洞的[[病毒]]之所以具有重要意義是因?yàn)?，通常難以看到XSS漏洞的威脅，而該病毒則將其發(fā)揮得淋漓盡致。
==危害==
　　跨站腳本(Cross-site scripting，XSS)漏洞是Web應(yīng)用程序中最常見(jiàn)的漏洞之一。站點(diǎn)沒(méi)有預(yù)防XSS漏洞的固定方法，那么就存在XSS漏洞。這個(gè)利用XSS漏洞的病毒之所以具有重要意義是因?yàn)?，通常難以看到XSS漏洞的威脅，而該病毒則將其發(fā)揮得淋漓盡致。XSS漏洞的[[蠕蟲(chóng)病毒]]的特別之處在于它能夠自我傳播。 如：站點(diǎn)上的一個(gè)用戶希望自己能夠在網(wǎng)站的友人列表上更“受歡迎”。但是該用戶不是通過(guò)普通的方法來(lái)結(jié)交新朋友，而是在自己的個(gè)人信息中添加了一些[[代碼]]，導(dǎo)致其他人在訪問(wèn)他的頁(yè)面時(shí)，會(huì)不知不覺(jué)地利用XSS漏洞將他加為好友。更惡劣的是，它會(huì)修改這些人的個(gè)人信息，使其他人在訪問(wèn)這些被感染的個(gè)人信息時(shí)，也會(huì)被感染。 1、各類用戶帳號(hào)，如機(jī)器登錄帳號(hào)、用戶網(wǎng)銀帳號(hào)、各類管理員帳號(hào) 2、制企業(yè)數(shù)據(jù)，包括讀取、篡改、添加、刪除企業(yè)敏感[[數(shù)據(jù)]]的能力 3、竊企業(yè)重要的具有商業(yè)價(jià)值的資料 4、非法轉(zhuǎn)賬 5、制發(fā)送[[電子郵件]] 6、[[網(wǎng)站]]掛馬 7、制受害者機(jī)器向其它網(wǎng)站發(fā)起攻擊
==攻擊實(shí)例==
攻擊[[Yahoo]] Mail 的Yamanner 蠕蟲(chóng)是一個(gè)著名的XSS 攻擊實(shí)例。Yahoo Mail 系統(tǒng)有一個(gè)漏洞，當(dāng)用戶在web 上察看信件時(shí)，有可能執(zhí)行到信件內(nèi)的[[Javascript]]代碼。[[病毒]]可以利用這個(gè)漏洞使被攻擊用戶運(yùn)行病毒的script。同時(shí)Yahoo Mail 系統(tǒng)使用了[[Ajax]]技術(shù)，這樣病毒的script可以很容易的向Yahoo Mail [[系統(tǒng)]]發(fā)起ajax 請(qǐng)求，從而得到用戶的地址簿，并發(fā)送病毒給他人。

==什么是XSS攻擊==
'''XSS攻擊'''：跨站腳本攻擊(Cross Site Scripting)，為不和層疊樣式表(Cascading Style Sheets, CSS)的縮寫(xiě)混淆。故將跨站腳本攻擊縮寫(xiě)為XSS。XSS是一種經(jīng)常出現(xiàn)在web應(yīng)用中的計(jì)算機(jī)安全漏洞，它允許惡意web用戶將[[代碼]]植入到提供給其它用戶使用的頁(yè)面中。比如這些代碼包括[[HTML]]代碼和客戶端腳本。攻擊者利用XSS漏洞旁路掉訪問(wèn)控制——例如同源策略(same origin policy)。這種類型的漏洞由于被駭客用來(lái)編寫(xiě)危害性更大的phishing攻擊而變得廣為人知。對(duì)于跨站腳本攻擊，黑客界共識(shí)是：跨站腳本攻擊是新型的“緩沖區(qū)溢出攻擊“，而JavaScript是新型的“ShellCode”?！　?*'''XSS攻擊的危害包括''':
**1、盜取各類用戶帳號(hào)，如機(jī)器登錄帳號(hào)、用戶網(wǎng)銀帳號(hào)、各類管理員帳號(hào) 　　
**2、控制企業(yè)數(shù)據(jù)，包括讀取、篡改、添加、刪除企業(yè)敏感數(shù)據(jù)的能力 　　
**3、盜竊企業(yè)重要的具有商業(yè)價(jià)值的資料 　　
**4、非法轉(zhuǎn)賬 　　
**5、強(qiáng)制發(fā)送電子郵件 　　
**6、網(wǎng)站掛馬 　　
**7、控制受害者機(jī)器向其它網(wǎng)站發(fā)起攻擊
*'''XSS漏洞的分類'''　　
**類型A，本地利用漏洞，這種漏洞存在于頁(yè)面中客戶端[[腳本]]自身。其攻擊過(guò)程如下所示：Alice給Bob發(fā)送一個(gè)惡意構(gòu)造了Web的URLBob點(diǎn)擊并查看了這個(gè)[[URL]]。惡意頁(yè)面中的[[JavaScript]]打開(kāi)一個(gè)具有漏洞的HTML頁(yè)面并將其安裝在Bob電腦上。具有漏洞的HTML頁(yè)面包含了在Bob電腦本地域執(zhí)行的JavaScript。Alice的惡意腳本可以在Bob的電腦上執(zhí)行Bob所持有的權(quán)限下的命令。 　　
**類型B，反射式漏洞，這種漏洞和類型A有些類似，不同的是Web客戶端使用Server端腳本生成頁(yè)面為用戶提供[[數(shù)據(jù)]]時(shí)，如果未經(jīng)驗(yàn)證的用戶數(shù)據(jù)被包含在頁(yè)面中而未經(jīng)HTML實(shí)體編碼，客戶端代碼便能夠注入到動(dòng)態(tài)頁(yè)面中。其攻擊過(guò)程如下：Alice經(jīng)常瀏覽某個(gè)[[網(wǎng)站]]，此網(wǎng)站為Bob所擁有。Bob的站點(diǎn)運(yùn)行Alice使用用戶名/密碼進(jìn)行登錄，并存儲(chǔ)敏感信息(比如銀行帳戶信息)。Charly發(fā)現(xiàn)Bob的站點(diǎn)包含反射性的XSS漏洞。Charly編寫(xiě)一個(gè)利用漏洞的URL，并將其冒充為來(lái)自Bob的郵件發(fā)送Alice。 Alice在登錄到Bob的站點(diǎn)后，瀏覽Charly提供的URL。嵌入到URL中的惡意腳本在Alice的[[瀏覽器]]中執(zhí)行，就像它直接來(lái)自Bob的[[服務(wù)器]]一樣。此腳本盜竊敏感信息(授權(quán)、信用卡、帳號(hào)信息等)然后在Alice完全不知情的情況下將這些信息發(fā)送到Charly的Web站點(diǎn)。 　　
**類型C，存儲(chǔ)式漏洞，該類型是應(yīng)用最為廣泛而且有可能影響到Web服務(wù)器自身安全的漏洞，駭客將攻擊腳本上傳到Web服務(wù)器上，使得所有訪問(wèn)該頁(yè)面的用戶都面臨信息泄漏的可能，其中也包括了Web服務(wù)器的管理員。
*'''其攻擊過(guò)程如下'''：Bob擁有一個(gè)Web站點(diǎn)，該站點(diǎn)允許用戶發(fā)布信息/瀏覽已發(fā)布的信息。Charly注意到Bob的站點(diǎn)具有類型C的XXS漏洞。Charly發(fā)布一個(gè)熱點(diǎn)信息，吸引其它用戶紛紛閱讀。Bob或者是任何的其他人如Alice瀏覽該信息，其會(huì)話cookies或者其它信息將被Charly盜走。類型A直接威脅用戶個(gè)體，而類型B和類型C所威脅的對(duì)象都是企業(yè)級(jí)Web應(yīng)用，目前天清入侵防御產(chǎn)品所能防范的XSS攻擊包括類型B和類型C。

==XSS受攻擊事件==
*'''[[新浪]][[微博]]XSS受攻擊事件'''
[[2011年]][[6月28日]]晚，新浪微博出現(xiàn)了一次比較大的XSS攻擊事件。大量用戶自動(dòng)發(fā)送諸如：“郭美美事件的一些未注意到的細(xì)節(jié)”，“建黨大業(yè)中穿幫的地方”，“讓女人心動(dòng)的100句詩(shī)歌”，“3D肉團(tuán)團(tuán)高清普通話版種子”，“這是傳說(shuō)中的神仙眷侶啊”，“驚爆!范冰冰艷照真流出了”等等微博和私信，并自動(dòng)關(guān)注一位名hellosamy的用戶。
*事件的經(jīng)過(guò)線索如下:
**20:14，開(kāi)始有大量帶V的認(rèn)證用戶中招轉(zhuǎn)發(fā)蠕蟲(chóng) 　　
**20:30，某網(wǎng)站中的病毒頁(yè)面無(wú)法訪問(wèn) 　　
**20:32，新浪微博中hellosamy用戶無(wú)法訪問(wèn) 　　
**21:02，新浪漏洞修補(bǔ)完畢
==相關(guān)詞條==
*[[計(jì)算機(jī)]]
*[[程序]]
*[[軟件]]
*[[程序設(shè)計(jì)]]
*[[瀏覽器]]
*[[數(shù)據(jù)]]
*[[網(wǎng)站]]
*[[CSS]]
==參考來(lái)源=
*http://baike.baidu.com/view/50325.htm
*http://baike.baidu.com/view/2161269.htm
[[category:計(jì)算機(jī)|X]]
[[category:標(biāo)記語(yǔ)言|X]]