XSS(cross site script),跨站脚本攻击,也成为CSS,是web程序中常见的漏洞。与SQL注入类似,SQL注入是通过SQL语句作为用户的输入,达到查询/删除数据库中数据的目的。而在XSS中,是通过网页中插入恶意脚本,且当用户浏览网页时,脚本就会成功地在用户的浏览器上执行,从而达到攻击者的目的。一次成功的XSS攻击,可以获取到用户的cookie,导航到恶意网站;可以获取用户联系人列表,向联系人发送虚假的诈骗信息;也可以删除用户日志等。XSS还可以与其他攻击同时实施,达到更大的破坏。
XSS攻击,分为两种:DOM based XSS攻击和Stored XSS攻击。
DOM based XSS攻击
顾名思义,DOM based XSS攻击是一种基于网页DOM结构的攻击。也有程序员称之为非持久性xss攻击,这种攻击影响范围小,仅对当次的网页访问产生影响。
Stored XSS攻击
这种类型的攻击,会影响范围大,而且可能是web服务器自身安全的漏洞。攻击者将攻击脚本上传至web服务器或者数据库上,是的所有访问该页面的用户都面临信息泄露的可能。