* 跨站腳本攻擊利用的重點是web用戶(瀏覽者)的安全意識
* 跨站腳本攻擊的技術(shù)重點在于腳本是在用戶端的瀏覽器上而非服務(wù)器端的服務(wù)上執(zhí)行
* 跨站腳本攻擊的方法重點在于讓用戶執(zhí)行藏有惡意代碼的鏈接
本文主要介紹跨站腳本攻擊的過程而不是技術(shù)細(xì)節(jié)。
我們假定三個角色:攻擊者、用戶、網(wǎng)上銀行。
攻擊的流程主要分以下幾個步驟:
1、攻擊者發(fā)送EMAIL,其中帶有惡意腳本的鏈接(鏈接地址是網(wǎng)上銀行);或者攻擊者在某網(wǎng)站上掛接帶有惡意腳本的鏈接(鏈接地址是網(wǎng)上銀行);
2、用戶點擊該鏈接,連到網(wǎng)上銀行,同時,嵌入鏈接的腳本被用戶的瀏覽器執(zhí)行,開始監(jiān)視用戶的網(wǎng)絡(luò)連接;
3、用戶在網(wǎng)上銀行中操作,剛才被執(zhí)行的腳本收集用戶的session和cookie信息,并且在用戶毫不知情的情況下發(fā)送給攻擊者;
4、攻擊者用搜集來的session信息,偽裝成合法用戶進入該網(wǎng)上銀行進行違法活動。
由此可見,該攻擊的重點在于要有可利用的腳本執(zhí)行的地方。只要有可利用來執(zhí)行腳本的空間,都是該攻擊可以實施的目標(biāo)。
在目前,跨站腳本是最大的安全風(fēng)險。
維護瀏覽器安全,改變操作習(xí)慣,認(rèn)真對待看到的信息,不要隨意點擊您的鼠標(biāo)。