SS是跨站腳本攻擊(Cross-Site Scripting)的簡稱,
它是個老油條了,在OWASP Web Application Top 10排行榜中長期霸榜,
從未掉出過前三名。XSS這類安全問題發生的本質原因在於,
瀏覽器錯誤的將攻擊者提供的用戶輸入數據當做JavaScript腳本給執行了。
XSS有幾種不同的分類辦法,例如按照惡意輸入的腳本是否在應用中存儲,
XSS被劃分爲“存儲型XSS”和“反射型XSS”,如果按照是否和服務器有交互
,又可以劃分爲“Server Side XSS”和“DOM based XSS”。
無論怎麼分類,XSS漏洞始終是威脅用戶的一個安全隱患。
攻擊者可以利用XSS漏洞來竊取包括用戶身份信息在內的各種敏感信息、
修改Web頁面以欺騙用戶,甚至控制受害者瀏覽器,或者和其他漏洞結合起來形成蠕蟲攻擊,
等等。總之,關於XSS漏洞的利用,只有想不到沒有做不到。