跨站脚本攻击,又叫XSS攻击。是指:攻击者将恶意脚本代码嵌入到正常用户会访问到的页面中,当正常用户访问该页面时,则可导致嵌入的恶意脚本代码的执行,入侵用户账户,窃取用户信息或执行更具危险性的侵犯行为。
XSS攻击有多种攻击类型,其中最为常见、危害最大的就是存储型XSS攻击。
举个栗子吧。
法外狂徒“张三”,在浏览某论坛时,发现了一个漏洞:他可以假装成普通用户提交一条评论,此评论中包含恶意攻击代码,一旦评论提交,恶意代码将被持久化保存到服务器上。
这里的恶意代码为了便于您理解,我们可以把它当成一个“沉默的炸弹”。这个“炸弹”一旦嵌入,将永久地 “藏身” 于这个页面其余的代码中。
假若有用户打开这个页面,法外狂徒”张三“就能轻松访问用户的个人信息和财务数据等等。
所以,无论用户有多谨慎,只要访问了受感染的网页,不需要其他操作,就会在不知不觉中受到攻击。
这就是前面为什么说,这类XSS攻击危害最大的原因了。
照这么说的话,我们岂不是也很难避免这种攻击?只能求神拜佛,让老天爷保佑黑客别盯上我们的网站吗?
当然不是啦!我们可以在系统上线前通过软件安全检测服务,来揪出这些容易被黑客利用的漏洞!从源头把系统薄弱点给补上,这样就能很好地降低类似的安全风险啦。