XSS

XSS又叫CSS (Cross Site Script) ，跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意脚本代码，当用户浏览该页之时，嵌入其中Web里面的脚本代码会被执行，从而达到恶意攻击用户的特殊目的。XSS属于被动式的攻击，因为其被动且不好利用，所以许多人常忽略其危害性。

XSS的种类[ ]

XSS攻击分成两类，一类是来自内部的攻击，主要指的是利用程序自身的漏洞，构造跨站语句，如:dvbbs的showerror.asp存在的跨站漏洞。另一类则是来自外部的攻击，主要指的自己构造XSS跨站漏洞网页或者寻找非目标机以外的有跨站漏洞的网页。如当我们要渗透一个站点，我们自己构造一个有跨站漏洞的网页，然后构造跨站语句，通过结合其它技术，如社会工程学等，欺骗目标服务器的管理员打开。防范措施是Web应用程序中最常见的漏洞之一。如果您的站点没有预防XSS漏洞的固定法，那么就存在XSS漏洞。这个利用XSS漏洞的病毒之所以具有重要意义是因为，通常难以看到XSS漏洞的威胁，而该病毒则将其发挥得淋漓尽致。

危害[ ]

跨站脚本(Cross-site scripting，XSS)漏洞是Web应用程序中最常见的漏洞之一。站点没有预防XSS漏洞的固定方法，那么就存在XSS漏洞。这个利用XSS漏洞的病毒之所以具有重要意义是因为，通常难以看到XSS漏洞的威胁，而该病毒则将其发挥得淋漓尽致。XSS漏洞的蠕虫病毒的特别之处在于它能够自我传播。 如：站点上的一个用户希望自己能够在网站的友人列表上更“受欢迎”。但是该用户不是通过普通的方法来结交新朋友，而是在自己的个人信息中添加了一些代码，导致其他人在访问他的页面时，会不知不觉地利用XSS漏洞将他加为好友。更恶劣的是，它会修改这些人的个人信息，使其他人在访问这些被感染的个人信息时，也会被感染。 1、各类用户帐号，如机器登录帐号、用户网银帐号、各类管理员帐号 2、制企业数据，包括读取、篡改、添加、删除企业敏感数据的能力 3、窃企业重要的具有商业价值的资料 4、非法转账 5、制发送电子邮件 6、网站挂马 7、制受害者机器向其它网站发起攻击

攻击实例[ ]

攻击Yahoo Mail 的Yamanner 蠕虫是一个著名的XSS 攻击实例。Yahoo Mail 系统有一个漏洞，当用户在web 上察看信件时，有可能执行到信件内的Javascript代码。病毒可以利用这个漏洞使被攻击用户运行病毒的script。同时Yahoo Mail 系统使用了Ajax技术，这样病毒的script可以很容易的向Yahoo Mail 系统发起ajax 请求，从而得到用户的地址簿，并发送病毒给他人。

什么是XSS攻击[ ]

XSS攻击：跨站脚本攻击(Cross Site Scripting)，为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆。故将跨站脚本攻击缩写为XSS。XSS是一种经常出现在web应用中的计算机安全漏洞，它允许恶意web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML代码和客户端脚本。攻击者利用XSS漏洞旁路掉访问控制——例如同源策略(same origin policy)。这种类型的漏洞由于被骇客用来编写危害性更大的phishing攻击而变得广为人知。对于跨站脚本攻击，黑客界共识是：跨站脚本攻击是新型的“缓冲区溢出攻击“，而JavaScript是新型的“ShellCode”。　　

• XSS攻击的危害包括:
  • 1、盗取各类用户帐号，如机器登录帐号、用户网银帐号、各类管理员帐号 　　
  • 2、控制企业数据，包括读取、篡改、添加、删除企业敏感数据的能力 　　
  • 3、盗窃企业重要的具有商业价值的资料 　　
  • 4、非法转账 　　
  • 5、强制发送电子邮件 　　
  • 6、网站挂马 　　
  • 7、控制受害者机器向其它网站发起攻击
• XSS漏洞的分类　　
  • 类型A，本地利用漏洞，这种漏洞存在于页面中客户端脚本自身。其攻击过程如下所示：Alice给Bob发送一个恶意构造了Web的URLBob点击并查看了这个URL。恶意页面中的JavaScript打开一个具有漏洞的HTML页面并将其安装在Bob电脑上。具有漏洞的HTML页面包含了在Bob电脑本地域执行的JavaScript。Alice的恶意脚本可以在Bob的电脑上执行Bob所持有的权限下的命令。 　　
  • 类型B，反射式漏洞，这种漏洞和类型A有些类似，不同的是Web客户端使用Server端脚本生成页面为用户提供数据时，如果未经验证的用户数据被包含在页面中而未经HTML实体编码，客户端代码便能够注入到动态页面中。其攻击过程如下：Alice经常浏览某个网站，此网站为Bob所拥有。Bob的站点运行Alice使用用户名/密码进行登录，并存储敏感信息(比如银行帐户信息)。Charly发现Bob的站点包含反射性的XSS漏洞。Charly编写一个利用漏洞的URL，并将其冒充为来自Bob的邮件发送Alice。 Alice在登录到Bob的站点后，浏览Charly提供的URL。嵌入到URL中的恶意脚本在Alice的浏览器中执行，就像它直接来自Bob的服务器一样。此脚本盗窃敏感信息(授权、信用卡、帐号信息等)然后在Alice完全不知情的情况下将这些信息发送到Charly的Web站点。 　　
  • 类型C，存储式漏洞，该类型是应用最为广泛而且有可能影响到Web服务器自身安全的漏洞，骇客将攻击脚本上传到Web服务器上，使得所有访问该页面的用户都面临信息泄漏的可能，其中也包括了Web服务器的管理员。

XSS受攻击事件[ ]

• 新浪微博XSS受攻击事件

2011年6月28日晚，新浪微博出现了一次比较大的XSS攻击事件。大量用户自动发送诸如：“郭美美事件的一些未注意到的细节”，“建党大业中穿帮的地方”，“让女人心动的100句诗歌”，“3D肉团团高清普通话版种子”，“这是传说中的神仙眷侣啊”，“惊爆!范冰冰艳照真流出了”等等微博和私信，并自动关注一位名hellosamy的用户。

• 事件的经过线索如下:
  • 20:14，开始有大量带V的认证用户中招转发蠕虫 　　
  • 20:30，某网站中的病毒页面无法访问 　　
  • 20:32，新浪微博中hellosamy用户无法访问 　　
  • 21:02，新浪漏洞修补完毕

相关词条[ ]

• 计算机
• 程序
• 软件
• 程序设计
• 浏览器
• 数据
• 网站
• CSS

参考来源[ ]

• http://zh.wikipedia.org/wiki/XSS
• http://baike.baidu.com/view/2161269.htm