from: https://zh.wikipedia.org/wiki/%E8%B7%A8%E7%B6%B2%E7%AB%99%E6%8C%87%E4%BB%A4%E7%A2%BC
Cross-site-scripting
攻擊手段和目的[編輯]
攻擊者使被攻擊者在瀏覽器中執行指令碼後,如果需要收集來自被攻擊者的資料(如cookie或其他敏感資訊),可以自行架設一個網站,讓被攻擊者通過JavaScript等方式把收集好的資料作為參數提交,隨後以資料庫等形式記錄在攻擊者自己的伺服器上。
常用的XSS攻擊手段和目的有:
- 盜用cookie,取得敏感資訊。
- 利用植入Flash,通過crossdomain權限設定進一步取得更高權限;或者利用Java等得到類似的操作。
- 利用iframe、frame、XMLHttpRequest或上述Flash等方式,以(被攻擊)用戶的身分執行一些管理動作,或執行一些一般的如發微博、加好友、發私信等操作。
- 利用可被攻擊的域受到其他域信任的特點,以受信任來源的身分請求一些平時不允許的操作,如進行不當的投票活動。
- 在瀏覽量極大的一些頁面上的XSS可以攻擊一些小型網站,實作DDoS攻擊的效果。
沒有留言:
張貼留言