跨站***,即Cross Site Script Execution(通常簡寫爲XSS)是指***者利用網站程序對用戶輸入過濾不足,輸入可以顯示在頁面上對其他用戶造成影響的HTML代碼,從而盜取用戶資料、利用用戶身份進行某種動作或者對訪問者進行病毒侵害的一種***方式。
用戶在瀏覽網站、使用即時通訊軟件、甚至在閱讀電子郵件時,通常會點擊其中的鏈接。***者通過在鏈接中插入惡意代碼,就能夠盜取用戶信息。***者通常會用十六進制(或其他編碼方式)將鏈接編碼,以免用戶懷疑它的合法性。
網站在接收到包含惡意代碼的請求之後會產成一個包含惡意代碼的頁面,而這個頁面看起來就像是那個網站應當生成的合法頁面一樣。許多流行的留言本和論壇程序允許用戶發表包含HTML和javascript的帖子。
假設用戶甲發表了一篇包含惡意腳本的帖子,那麼用戶乙在瀏覽這篇帖子時,惡意腳本就會執行,盜取用戶乙的session信息。
跨站腳本***,三步如下:
1.HTML注入,所有HTML注入範例只是注入一個JavaScript彈出式的警告框:alert(1)。
2.做壞事,如果您覺得警告框還不夠刺激,當受害者點擊了一個被注入了HTML代碼的頁面鏈接時***者能作的各種的惡意事情。
3.誘捕受害者。