SS是跨站脚本攻击(Cross-Site Scripting)的简称,
它是个老油条了,在OWASP Web Application Top 10排行榜中长期霸榜,
从未掉出过前三名。XSS这类安全问题发生的本质原因在于,
浏览器错误的将攻击者提供的用户输入数据当做JavaScript脚本给执行了。
XSS有几种不同的分类办法,例如按照恶意输入的脚本是否在应用中存储,
XSS被划分为“存储型XSS”和“反射型XSS”,如果按照是否和服务器有交互
,又可以划分为“Server Side XSS”和“DOM based XSS”。
无论怎么分类,XSS漏洞始终是威胁用户的一个安全隐患。
攻击者可以利用XSS漏洞来窃取包括用户身份信息在内的各种敏感信息、
修改Web页面以欺骗用户,甚至控制受害者浏览器,或者和其他漏洞结合起来形成蠕虫攻击,
等等。总之,关于XSS漏洞的利用,只有想不到没有做不到。