跨站脚本攻击 - 危险的脚本标签
漏洞描述
跨站脚本攻击(XSS)是一种代码注入。具体来说,恶意脚本会被注入到原本正常的网站中。XSS攻击通常发生在攻击者使用网络应用向其它用户发送恶意代码的时候,这些代码主要是浏览器内部脚本。XSS漏洞目前正在肆意传播,只要网络应用的输入未经验证或者解码那么就有可能遭受XSS攻击。针对HTTP协议,XSS可以借助URI,Cookie,Referer等字段来发动攻击。 攻击者可以利用XSS来发送一个恶意脚本到毫无防备的用户。最终用户的浏览器没有办法知道该脚本是否可信,并将执行该脚本,因此恶意脚本可以访问任意Cookie,session tokens,或者您的浏览器保留的其他敏感信息并使用该网站。这些脚本甚至可以重写HTML页中的内容。
处理建议 1. 请对服务进行加固(例如:过滤非法字符)来消除漏洞;
2. 请部署网络安全设备(IDS或IPS)来检测和阻断攻击行为。
参考:
跨站点脚本 (XSS) 软件攻击|奥瓦斯普基金会 (owasp.org)
