* 跨站腳本攻擊利用的重點是web用戶(瀏覽者)的安全意識
* 跨站腳本攻擊的技術重點在于腳本是在用戶端的瀏覽器上而非服務器端的服務上執行
* 跨站腳本攻擊的方法重點在于讓用戶執行藏有惡意代碼的鏈接
本文主要介紹跨站腳本攻擊的過程而不是技術細節。
我們假定三個角色:攻擊者、用戶、網上銀行。
攻擊的流程主要分以下幾個步驟:
1、攻擊者發送EMAIL,其中帶有惡意腳本的鏈接(鏈接地址是網上銀行);或者攻擊者在某網站上掛接帶有惡意腳本的鏈接(鏈接地址是網上銀行);
2、用戶點擊該鏈接,連到網上銀行,同時,嵌入鏈接的腳本被用戶的瀏覽器執行,開始監視用戶的網絡連接;
3、用戶在網上銀行中操作,剛才被執行的腳本收集用戶的session和cookie信息,并且在用戶毫不知情的情況下發送給攻擊者;
4、攻擊者用搜集來的session信息,偽裝成合法用戶進入該網上銀行進行違法活動。
由此可見,該攻擊的重點在于要有可利用的腳本執行的地方。只要有可利用來執行腳本的空間,都是該攻擊可以實施的目標。
在目前,跨站腳本是最大的安全風險。
維護瀏覽器安全,改變操作習慣,認真對待看到的信息,不要隨意點擊您的鼠標。