L003001006-HTTP攻击与防范-跨站攻击-01简介试编.docxVIP

课程编写 类别 内容 实验课题名称 HTTP攻击与防范-跨站攻击-01简介 实验目的与要求 1、??掌握WEB渗透测试跨站攻击原理 2、??了解WEB站点的跨站攻击脆弱性 3、??修复存在跨站攻击可能的漏洞 实验环境 VPC1(虚拟PC） Windows server 2003 VPC1 连接要求 PC 网络接口，本地连接与实验网络直连 软件描述 1、学生机要求安装java环境2、vpc安装windwos 系统 实验环境描述 1、 学生机与实验室网络直连; 2、 VPC1与实验室网络直连; 3、 学生机与VPC1物理链路连通； 预备知识 XSS又叫CSS (Cross Site Script)?，跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意脚本代码， 当用户浏览该页之时，嵌入其中Web里面的脚本代码会被执行，从而达到恶意攻击用户的特殊目的。 XSS属于被动式的攻击，因为其被动且不好利用，所以许多人常忽略其危害性。 XSS原理图 跨站脚本攻击（cross-site scripting，XSS） 发生在客户端，恶意代码在服务器上，用户点击此链接，恶意代码注入浏览器，从而达到攻击效果。 跨站攻击多是窃取cookie的信息。 XSS跨站脚本攻击一直都被认为是客户端Web安全中最主流的攻击方式。 因为Web环境的复杂性以及XSS跨站脚本攻击的多变性，使得该类型攻击很难彻底解决。