漏洞危害
1) 釣魚欺騙:最典型的就是利用(yòng)目标網站(zhàn)的反射型跨站(zhàn)腳本漏洞将目标網站(zhàn)重定向到(dào)釣魚網站(zhàn),或者注入釣魚JavaScript以監控目标網站(zhàn)的表單輸入,甚至發起基于DHTML更高(gāo)級的釣魚攻擊方式。
2) 網站(zhàn)挂馬:跨站(zhàn)時(shí)利用(yòng)IFrame嵌入隐藏的惡意網站(zhàn)或者将被攻擊者定向到(dào)惡意網站(zhàn)上(shàng),或者彈出惡意網站(zhàn)窗口等方式都可以進行挂馬攻擊。
3) 身份盜用(yòng):Cookie是用(yòng)戶對(duì)于特定網站(zhàn)的身份驗證标志,XSS可以盜取到(dào)用(yòng)戶的Cookie,從(cóng)而利用(yòng)該Cookie盜取用(yòng)戶對(duì)該網站(zhàn)的操作(zuò)權限。如果一個網站(zhàn)管理(lǐ)員用(yòng)戶Cookie被竊取,将會(huì)對(duì)網站(zhàn)引發巨大(dà)的危害。
4) 盜取網站(zhàn)用(yòng)戶信息:當能(néng)夠竊取到(dào)用(yòng)戶Cookie從(cóng)而獲取到(dào)用(yòng)戶身份使,攻擊者可以獲取到(dào)用(yòng)戶對(duì)網站(zhàn)的操作(zuò)權限,從(cóng)而查看(kàn)用(yòng)戶隐私信息。
5) 垃圾信息發送:比如在SNS社區(qū)中,利用(yòng)XSS漏洞借用(yòng)被攻擊者的身份發送大(dà)量的垃圾信息給特定的目标群。
6) 劫持用(yòng)戶Web行爲:一些(xiē)高(gāo)級的XSS攻擊甚至可以劫持用(yòng)戶的Web行爲,監視(shì)用(yòng)戶的浏覽曆史,發送與接收的數據等等。
7) XSS蠕蟲:XSS 蠕蟲可以用(yòng)來(lái)打廣告、刷流量、挂馬、惡作(zuò)劇(jù)、破壞網上(shàng)數據、實施DDoS攻擊等。