XSS跨站脚本攻击方法初探.pdfVIP

第 31卷 　第 6期 宜春学院学报 Vo l31, No6 2009年 12 月 　　　　　　　 　 　 　　　　Jou rnal of Yichun College　 　 　 　　　　　　　　　　 D ec2009 XSS跨站脚本攻击方法初探① 罗来曦 , 朱 　渔 (宜春职业技术学院 , 江西 　宜春 　336000) 摘 　要 : XSS又叫 CSS (Cro ss Site Scrip t) , 跨站脚本攻击 。跨站脚本攻击以访问服务器的客户端为攻击 目 标 , 通过恶意脚本向第三方站点发送用户的信息 。跨站脚本攻击是继 SQL 注入攻击后最为常用的攻击手段 。XSS 本质上是 W eb应用服务的漏洞 , 主要的攻击方法分别是在 W eb应用程序中偷 cook ie、利用 ifram e或 fram e存取管 理页面或后台页面 、利用 XMLH ttpR equest存取管理页面或后台页面 。 关键词 : 跨站脚本攻击 ; H TML ; Cook ie 中图分类号 : TP39　文献标识码 : A 　文章编号 : 167 1 - 380X (2009) 06 - 0087 - 03 XSS Cross - site Scr ipting A ttack M ethods Prelim inary Exp lora tion LUO L ai - xi, ZHU Yu (D ep a rtm en t of Inf orm a tion Eng ineering of Yichun Voca tiona l Techn ica l Colleg e, Yichun 336000, Ch ina) A b stract: XSS also known a s CSS (Cro ss Site Scrip t) , cro ss - site scrip ting attack s Cro ss - site scrip ting attack to acce ss the server, the clien t object of the attack by a m aliciou s scrip t to a th ird p arty site to send the u ser inform ation Cro ss - site scrip ting attack is SQL injection attack s, follow ing the mo st common ly u sed m ean s of attack XSS is e ssentially a W eb app lication service vu lnerab ility, the m ain attack m ethod s are in the W eb app lication to steal cook ie, u se of ifram e or fram e to access the m anagem en t p age, or the back ground p age, u se XMLH ttpR equest to acce ss the m anagem ent p age, or the background p age Key word s: Cro ss - site scrip ting attack; H TML ; Cook ie 0　引言