XSS第一节,XSS档案

名称:XSS

全命:Cross-site scripting

为什么不是CSS? 因为CSS在网页设计领域已经被广泛指层叠样式表(Cascading Style Sheets),所以将Cross改以发音相近的X做为缩写。

江湖排名:2013年的OWASP(Open Web Application Security Project,官网https://www.owasp.org/)中排名第三。


简述:跨网站脚本(Cross-site scripting,通常简称为XSS或跨站脚本或跨站脚本攻击)是一种网站应用程序的安全漏洞攻击,是代码注入的一种。它允许恶意用户将代码注入到网页上,其他用户在观看网页时就会受到影响。这类攻击通常包含了HTML以及用户端脚本语言。

危害(包含但不限于):

一、盗取各类用户帐号,如机器登录帐号、用户网银帐号、各类管理员帐号;

二、控制企业数据,包括读取、篡改、添加、删除企业敏感数据的能力;

三、盗窃企业重要的具有商业价值的资料;

四、非法转账;

五、强制发送电子邮件;

六、网站挂马;

七、控制受害者机器向其它网站发起攻击;

 

        这些危害中,前四点主要是利用盗取cookie信息,来达到冒充被攻击者的,预防的办法就是登录网站后,尤其是和钱相关的网站,不同时打开其他的网站,完成交易后,立即退出登录,之后再浏览其他的网站。后面三点,主要是利用小网站来实现,所以,预防的办法是只上知名的大网站,对于安全性未知的小网站要格外留心。

 

 


你可能感兴趣的:(安全,xss)