漏洞危害
1) 釣魚欺騙:最典型的就(jiù)是利用目标網站的反射型跨站腳本漏洞将目标網站重定向到(dào)釣魚網站,或者注入釣魚JavaScript以監控目标網站的表單輸入,甚至發起基于DHTML更高(gāo)級的釣魚攻擊方式。
2) 網站挂馬:跨站時利用IFrame嵌入隐藏的惡意網站或者将被攻擊者定向到(dào)惡意網站上(shàng),或者彈出惡意網站窗(chuāng)口等方式都可以進行挂馬攻擊。
3) 身份盜用:Cookie是用戶對于特定網站的身份驗證标志(zhì),XSS可以盜取到(dào)用戶的Cookie,從(cóng)而利用該Cookie盜取用戶對該網站的操作權限。如果一(yī)個(gè)網站管理員(yuán)用戶Cookie被竊取,将會(huì)對網站引發巨大的危害。
4) 盜取網站用戶信息:當能(néng)夠竊取到(dào)用戶Cookie從(cóng)而獲取到(dào)用戶身份使,攻擊者可以獲取到(dào)用戶對網站的操作權限,從(cóng)而查看(kàn)用戶隐私信息。
5) 垃圾信息發送:比如在SNS社區中,利用XSS漏洞借用被攻擊者的身份發送大量的垃圾信息給特定的目标群。
6) 劫持用戶Web行為(wèi):一(yī)些高(gāo)級的XSS攻擊甚至可以劫持用戶的Web行為(wèi),監視用戶的浏覽曆史,發送與接收的數據等等。
7) XSS蠕蟲:XSS 蠕蟲可以用來打廣告、刷流量、挂馬、惡作劇、破壞網上(shàng)數據、實施DDoS攻擊等。