科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道跨站脚本攻击(XSS):过滤不完的恶梦,又有新攻击语法!

跨站脚本攻击(XSS):过滤不完的恶梦,又有新攻击语法!

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

跨站脚本攻击(Cross Site Scripting,简称 XSS,亦翻为跨网站的入侵字串)又有新的攻击语法!

作者:阿码 来源:阿码外传 2008年10月29日

关键字: XSS 跨站脚本攻击 Web安全

  • 评论
  • 分享微博
  • 分享邮件

  跨站脚本攻击(Cross Site Scripting,简称 XSS,亦翻为跨网站的入侵字串)又有新的攻击语法!此次触发恶意脚本不需要用到 script 标籤(譬如 <script>alert(1)</script>),也不用 javascript 协定(譬如 javascript:alert(1)),而是 8 月 26 日所揭露的

  <isindex type=image src=http://www.hack58.net/Article/html/3/7/2008/1 src="/Article/UploadPic/2008-9/20089111422470.jpg">

  稍加调整甚至不需要定义 src 属性也可成功:

  <isindex type=image src="/uploadfile/2008/9/8-du20175_20080911120816_1.jpg">

  跨站脚本攻击(XSS)不亏是名列最新 OWASP Top 2007(2007年 OWASP 十大 Web 资安漏洞)的榜首,「简单好用、防不胜防」!

  简单来说,跨站脚本攻击(XSS)的基本精神就是骇客在 HTML 文件中安插网页脚本语言(譬如 JavaScript 或 VBScript),让受骇方的浏览器在浏览网页时进而去执行。这延伸两个讨论议题:

  1. 为何骇客能够在 HTML 文件中安插这些脚本?

  在 Web 2.0 的时代,大部分的网页或多或少都需要产生动态内容,都需要与使用者互动,一旦使用者所提供的资料(譬如恶意脚本字串)有机会成为动态输出的 HTML 内容的一部份时,这样恶意脚本就被成功地安插进原本合法无恶意的 HTML 文件了。这也是为何许多客户最后选择从源码检测著手,揪出这些进入点与输出点,治本地解决跨站脚本攻击(XSS)。

  2. 为何浏览器会去执行这些脚本?

  浏览器只是如实地遵循 W3C (World Wide Web Consortium) 所制定的 HTML 标准(目前最新版本为 HTML 4.01),正确地支援各语法标籤应表现的样式与行为,因此当应该执行脚本时,就会执行这些脚本,儘管他们可能是恶意的,包括偷取 Cookie、置换网页、转址、攻击其他网站等。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章