XSS 总结 调研 介绍.docxVIP

XSS检测与防范总结XSS全称：跨站脚本攻击(Cross Site Scripting)简单概括：往页面插入恶意脚本百度百科定义：恶意攻击者往Web页面里插入恶意html代码，当用户浏览该页之时，嵌入其中Web里面的html代码会被执行，从而达到恶意攻击用户的特殊目的优点：漏洞无处不在缺点：属于被动攻击，攻击时间长且不确定没有自动化的攻击工具危害性：获取cookie (若cookie加入了httponly则无法获取)模拟请求发评论、发微薄、发广告、刷投票、获取私人信息、聊天内容等；根据网站功能不一样，而能做不同的事情更恶意的：获取私人信息 + 社会工程学 ：获取密码，尝试邮箱、QQ、支付宝等攻击注册或登录页面，获取甚至修改用户密码蠕虫，通过被攻击者去发起攻击，让更多用户受攻击挂马、DDos …….. 等攻击的位置：所有用户输入的地方（任何input 输入框、编辑信息、发送评论、上传图片等）请求服务器时 url 所带参数（2实际上包括了1，因为用户输入 最后也是通过请求发送到服务器，关键在于 是否经过过滤 或 其他处理才输出）攻击分类：将带有攻击脚本的url 发给被攻击者，欺骗其点击（此url 可以是 经过编码 或者 转换为短链，从而无法看出里面带有攻击脚本）将攻击脚本存到服务器（如：编辑自己的个人信息 或 发送带脚本的评论、文章，若有漏洞没过滤）受攻击者：用户（当用户浏览你的信息或