admin管理员组

文章数量:1530518

2024年5月10日发(作者:)

网络安全课程论文

--浅谈XSS跨站脚本攻击的危害

姓名:代雷波

学号:20103190

专业:网络工程

2013年5月21日

浅谈XSS跨站脚本攻击的危害

众所周知,网站中包含大量的动态内容以提高用户体验,比过

去要复杂得多。所谓动态内容,就是根据用户环境和需要,Web应

用程序能够输出相应的内容。动态站点会受到一种名为“跨站脚本

攻击”(Cross Site Scripting, 安全专家们通常将其缩写成XSS)

的威胁,而静态站点则完全不受其影响。

什么是XSS 跨站攻击?

跨站脚本攻击(也称为XSS)指利用网站漏洞从用户那里恶意盗

取信息。用户在浏览网站、使用即时通讯软件、甚至在阅读电子邮件

时,通常会点击其中的链接。攻击者通过在链接中插入恶意代码,就

能够盗取用户信息。攻击者通常会用十六进制(或其他编码方式)将

链接编码,以免用户怀疑它的合法性。网站在接收到包含恶意代码的

请求之后会产成一个包含恶意代码的页面,而这个页面看起来就像是

那个网站应当生成的合法页面一样。许多流行的留言本和论坛程序允

许用户发表包含HTML和javascript的帖子。假设用户甲发表了一篇

包含恶意脚本的帖子,那么用户乙在浏览这篇帖子时,恶意脚本就会

执行,盗取用户乙的session信息。有关攻击方法的详细情况将在下

面阐述。

那么到底什么是XSS呢?我这里简单的说一下,举例子HTML代

码: *** 这是个简单的HTML的代码。这段代码

的意思是设置字体大小为“2”,假设我想发表这个代码,我发表这个代

码是显示给大家看,给用户看!但是浏览器误认为这是一段html代

码,于是将它作为HTML代码进行执行,这时候我们发表的字体可能

被这段代码修饰成了2号字体。也就是说这段代码被浏览器执行成了

HTML语言,而不是直接输出来给用户看!不知道大家是否明白。再

举例 。这是一个最简单的javascript脚本语

句,javascript是可以嵌入到HTML页面中,并且也会被执行,js脚本

不仅可以在单个页面中执行,也可以单独作为js文件进行调用。那么

是什么意思呢?它的含义就是弹出一个警告框,框中的内容为XSS。

如下图:

假设我们想将代码输出给用户给大家看,但又被浏览器当成了

javascript语言执行了,弹出一个提示内容为XSS的警告框,这就说明

网站存在XSS跨站漏洞,它会将用户提交的特殊代码当成脚本语言去

本文标签: 用户网站代码

版权声明:本文标题:网络安全之XSS漏洞的危害 内容由热心网友自发贡献,该文观点仅代表作者本人, 转载请联系作者并注明出处:https://m.elefans.com/dongtai/1715325992a446486.html, 本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容,一经查实,本站将立刻删除。