4.1 XSS攻击概述

XSS(Cross Site Scripting,跨站脚本攻击),为不和CSS(Cascading Style Sheets,层叠样式表)的缩写混淆,故将跨站脚本攻击缩写为XSS。XSS是一种经常出现在Web应用中的计算机安全漏洞,它允许恶意Web用户将代码植入到提供给其他用户使用的页面中。比如,这些代码包括HTML代码和客户端脚本。攻击者利用XSS漏洞旁路掉访问控制,例如同源策略。这种类型的漏洞由于被黑客用来编写危害性更大的网络钓鱼攻击而变得广为人知。对于跨站脚本攻击,黑客界共识是:跨站脚本攻击是新型的“缓冲区溢出攻击”,而JavaScript是新型的“ShellCode”。

据360发布的《2016年中国网站安全漏洞形势分析报告》披露(见图4-1),XSS高居国内Web漏洞前三。

根据乌云统计的2016年的安全漏洞(见图4-2),XSS攻击十分活跃。

图4-1 2016年中国网站安全漏洞形势分析报告

图4-2 2016年乌云漏洞平台XSS攻击举例

XSS的危害:

·盗取各类用户账号,如机器登录账号、用户网银账号、各类管理员账号;

·控制企业数据,包括读取、篡改、添加、删除企业敏感数据的能力;

·盗窃企业重要的具有商业价值的资料;

·非法转账;

·强制发送电子邮件;

·网站挂马;

·控制受害者机器向其他网站发起攻击。