跨站脚本介绍.pdfVIP

第1 章 XSS 初探 第1 章 XSS 初探 XSS （Cross-Site Scripting ）跨站脚本自1996 年诞生以来，如今已经历十多年的演化。在各 种网络安全漏洞中，XSS 一直都被OWASP （Open Web Application Security Project ）组织评为十 大安全漏洞中的第二威胁漏洞。也有黑客把跨站脚本当做新型的“缓冲区溢出攻击”，而JavaScript 则是新型的ShellCode 。 2011 年6 月份，国内最火的信息发布平台“新浪微博”爆发了XSS 蠕虫攻击，新浪微博的 XSS 蠕虫爆发仅执续了 16 分钟，感染的用户就达到将近33000 个，危害十分严重！ XSS 最大的特点就是能注入恶意的HTML/JavaScript 代码到用户浏览的网页上，从而达到劫 持用户会话的目的。由于HTML 代码和客户端JavaScript 脚本能在受害者主机上的浏览器任意执 行，这样等同于完全控制了 Web 客户端的逻辑，在这个基础上，黑客或攻击者可以轻易地发动 各种各