Cross-Site Scripting中文譯為「跨站腳本攻擊」,簡稱XSS。此乃是駭客利用網站上允許使用者輸入字元或字串的欄位插入HTML與Script語言,造成其他正常使用者在觀看網頁的同時,瀏覽器會主動下載並執行部份惡意的程式碼,或被暗地裡導入到惡意的網站,而受到某種型態的影響。
XSS攻擊介於駭客與使用者之間的攻防戰,並不會對server主機有任何威脅,所以才被稱為跨站腳本攻擊,意思即是:駭客使用某些語言(腳本)跨過主機對使用者進行攻擊。
換句話說,要防止XSS攻擊,修改程式碼為不二法則。最簡單防止XSS的攻擊,必須在使用者輸入欄位加入過濾字串的功能,將『<』、『>』、『%』、『/』、『()』、『&』等符號進行過濾不予輸出至網頁,或限定欄位長度的輸入。
詳見全文:http://security.sinica.edu.tw/infosec-web/viewtopic.php?t=251
.....................................................................................................................................................................................
這裡有一份文件,很詳細。建議您一定要看(資料來源:地方政府資通安全服務中心 / www.sss.org.tw)
Cross Site Script漏洞檢測與說明會講義下載:
Http://www.sss.org.tw/downloads/V0911.rar
.....................................................................................................................................................................................
2007十大Web安全漏洞 跨站腳本攻擊XSS居首
http://financenews.sina.com/sinacn/304-000-106-109/2007-07-11/0350496219.html
開放Web軟件安全計劃(Open Web Application Security Project,OWASP)台灣分會今發表2007十大Web安全漏洞,年初曾發生在知名文件閱讀器Adobe Acrobat Reader上的跨站腳本攻擊(Cross Site Scripting,XSS)居首位。
.....................................................................................................................................................................................
跨站腳本攻擊與防禦(簡體中文) http://www.xfocus.net/articles/200607/874.html
所謂跨站腳本漏洞,其實就是Html的注入問題,惡意用戶的輸入,在沒有經過嚴格的控制下,進入了資料庫,最終顯示給來訪的用戶,導致可以在來訪用戶的瀏覽器裏,一執行(瀏覽)Html代碼,資料流程程如下:
惡意用戶的Html輸入—>web程式—>進入資料庫—>web程式—>用戶瀏覽器
這樣我們就可以清楚的看到Html代碼是如何進入受害者瀏覽器的了,我們也就可以根據這個流程來討論跨站腳本的攻擊與防禦了!
.....................................................................................................................................................................................
其他相關文章:http://plog.longwin.com.tw/my-favorite-site/2007/03/17/xss_sql_injection_cheat_sheet_20070317
駭客就是這樣玩弄你的網站,看看這些輸入字串,你的網站是否有過濾呢?
沒有的話,XSS攻擊馬上到... http://ha.ckers.org/xss.html
需要更多資料,可以查詢 Google。關鍵字----跨站腳本攻擊