漏洞危害
1) 釣魚欺騙:最典型的就(jiù)是利用目标網站(zhàn)的反射型跨站(zhàn)腳本漏洞将目标網站(zhàn)重定向到釣魚網站(zhàn),或者注入釣魚JavaScript以監控目标網站(zhàn)的表單輸入,甚至發起基于DHTML更高級的釣魚攻擊方式。
2) 網站(zhàn)挂馬:跨站(zhàn)時利用IFrame嵌入隐藏的惡意網站(zhàn)或者将被攻擊者定向到惡意網站(zhàn)上,或者彈出惡意網站(zhàn)窗(chuāng)口等方式都可(kě)以進行挂馬攻擊。
3) 身份盜用:Cookie是用戶對于特定網站(zhàn)的身份驗證标志,XSS可(kě)以盜取到用戶的Cookie,從而利用該Cookie盜取用戶對該網站(zhàn)的操作權限。如(rú)果一個網站(zhàn)管理員用戶Cookie被竊取,将會對網站(zhàn)引發巨大的危害。
4) 盜取網站(zhàn)用戶信息:當能夠竊取到用戶Cookie從而獲取到用戶身份使,攻擊者可(kě)以獲取到用戶對網站(zhàn)的操作權限,從而查看(kàn)用戶隐私信息。
5) 垃圾信息發送:比如(rú)在SNS社區中,利用XSS漏洞借用被攻擊者的身份發送大量的垃圾信息給特定的目标群。
6) 劫持用戶Web行爲:一些高級的XSS攻擊甚至可(kě)以劫持用戶的Web行爲,監視用戶的浏覽曆史,發送與接收的數據等等。
7) XSS蠕蟲:XSS 蠕蟲可(kě)以用來打廣告、刷流量、挂馬、惡作劇、破壞網上數據、實施DDoS攻擊等。