1.当攻击者向动态表单引入恶意脚本以便获取私人会话信息时,就会发生跨站点脚本攻击(XSS)。在本文中,Anand K. Sharma 揭示了容易受 XSS 攻击的领域,解释了用户如何进行自我保护,以及站点管理员如何才能保护站点免受这类恶意入侵。
大多数现有的浏览器都能解释和执行来自 Web 服务器的嵌入到 Web 页面下载部分的脚本(用 JavaScript、JScript、VBScript 等脚本语言创建)。当攻击者向用户提交的动态表单引入恶意脚本时,就会产生跨站点脚本 (XSS) 攻击。
XSS 攻击会导致不良后果。例如攻击者将能够获取会话信息,窃取 ID、密码、信用卡信息、家庭住址和电话、社会保险/税 ID 等用户的隐私资料。如果目标 Web 站点不检查这类恶意代码,就可能造成恶意使用用户信息。
为了让脚本不被识别为恶意脚本,攻击者会用不同的编码方法对其进行编码,比如使用 HEX。通过这种方法,Web 站点就会像显示站点中的有效内容一样在页面上显示恶意内容。如果 Web 应用程序没有验证输入,攻击者只需诱导用户选择恶意链接,然后 Web 应用程序就会从用户那里收集机密信息。这就让攻击者就能够获取用户会话信息并窃取用户凭证,重定向到另一个 Web 站点上的网页,然后插入恶意代码来破坏 cookie、公开 SSL 连接、访问受限或私人站点,甚至触发一系列这样的攻击。
2.攻击类型:
| BLINDSQLINJECTION |
| SQLINJECTION |
| XSS |
| FILEINJECTION |
| COMMANDACCESS |
| COMMANDINJECTION |
| LDAPINJECTION |
| SSIINJECTION |
| PHPINJECTION |
| UNIVERSALXSS |
| MALFORMED |
| RISKCHARACTER |