实验四 跨站脚本攻击.docVIP

实验四 跨站脚本攻击(XSS)实验 班级﹒学号：网络1202班.201258080202 姓 名： 肖娜 实验日期： 2014年11月28日 任课教师： 向凌云 【实验目的】 【实验原理】 XSS(Cross Site Script)Html字符或者根本就没有经过过滤就放到了数据库中，一个恶意用户提交的Html代码被其它浏览该网站的用户访问，通过这些Html代码也就间接控制了浏览者的浏览器，就可以做很多的事情，如：窃取敏感信息、引导访问者的浏览器去访问恶意网站等。 一、 XSS攻击的两种方式 内跨站(来自自身的攻击)主要指的是利用程序自身的漏洞，构造跨站语句。 外跨站(来自外部的攻击)主要指的自己构造XSS跨站漏洞网页或者寻找非目标机以外的有跨站漏洞的网页。 例如：当我们要渗透一个站点，我们自己构造一个有跨站漏洞的网页，然后构造跨站语句，通过结合其它技术，如社会工程学等，欺骗目标服务器的管理员打开。 二、 XSS攻击的危害 (1) 针对性挂马 这类网站一定是游戏网站，银行网站或者是关于QQ、taobao或者影响力相当大的网站，挂马(网页木马)的目的无非是盗号或者批量抓肉鸡。 (2) 用户权限下操作 这类网站一般有会员，而且这些会员有很多有意义的操作或者有我们需要的内部个人资料，