XSS漏洞概述

简介

XSS作为0 WASP T0P10之一，XSS被称为跨站脚本攻击(Cross-site scripting),本来应该缩写为CSS,但是由于和CSS(Cascading Style Sheets,层叠样式脚本)重名，所以更名为XSS。

XSS(跨站脚本攻击)主要基于JavaScript(JS)完成恶意的攻击行为。JS可以非常灵活的操作htmL、css和浏览器，这使得XSS攻击的“想象”空间特别大。

XSS通过将精心构造的代码(JS)代码注入到网页中，并由浏览器解释运行这段 JS 代码，以达到恶意攻击的效果。当用户访问被XSS脚本注入的网页，XSS脚本就会被提取出来。用户浏览器就会解析这段XSS代码，也就是说用户被攻击了。用户最简单的动作就是使用浏览器上网，并且浏览器中有解释器，可以解析JavaScript,然而浏览器不会判断代码是否恶意。也就是说，XSS 的对象是用户和浏览器。

微博、留言板、聊天室等等收集用户输入的地方，都有可能被注入 XSS 代码，都存在遭受 XSS
的风险，只要没有对用户的输入进行严格过滤，就会被XSS。

XSS漏洞发生在服务器

XSS危害

XSS利用JS代码实现攻击，有很多种攻击方法，以下简单列出几种

• 盗取各种用户账号
• 窃取用户 Cookie 资料，冒充用户身份进入网站
• 劫持用户会话，执行任意操作
• 刷流量，执行弹窗广告
• 传播蠕虫病毒
  ...