作者:搜狗实验室 来源:搜狗实验室 酷勤网收集 2008-08-13
摘要
XSS(Cross Site Script)跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意用户的特殊目的。本文介绍了该攻击方式,并给出了一些防范措施。
XSS 攻击主要分为两类:一类是来自内部的攻击,主要指的是利用 WEB 程序自身的漏洞,提交特殊的字符串,从而使得跨站页面直接存在于被攻击站点上,这个字符串被称为跨站语句。这一类攻击所利用的漏洞非常类似于 SQL Injection漏洞,都是 WEB程序没有对用户输入作充分的检查和过滤。上文的 Yamanner 就是一例。
另一类则是来来自外部的攻击, 主要指的自己构造 XSS 跨站漏洞网页或者寻找非目标机以外的有跨站漏洞的网页。如当我们要渗透一个站点,我们自己构造一个跨站网页放在自己的服务器上,然后通过结合其它技术,如社会工程学等,欺骗目标服务器的管理员打开。这一类攻击的威胁相对较低,至少 ajax要发起跨站调用是非常困难的。
文档下载地址:http://www.sogou.com/labs/report/2-3.pdf (酷勤网备用地址:sogouLabs_2-3.pdf)
延伸阅读:
搜狗实验室技术交流文档:epoll简介
搜狗实验室技术交流文档:乱序优化与GCC的Bug
搜狗实验室技术交流文档:用java的nio技术实现的异步连接池