Google | Yahoo! | MSN | HiNet | Yam | FaceBook |
  • 首頁 > 知識庫 > XSS(Cross Site Scripting) 跨網站攻擊
  • XSS(Cross Site Scripting) 跨網站攻擊

    XSS(Cross Site Scripting)攻擊會讓您遺失Cookie中的資料

    跨網站攻擊程式 (XSS) 指的是一種能夠威脅任何網站應用的形式,而它的嚴重性往往被低估了;這個問題所帶來的影響遠超過突如其來的打擾或惡作劇。透過擷取您的 cookies 資料(一種儲存在個人瀏覽器的暫存資訊),跨網站攻擊程式能夠讓攻擊者取得您網站的管理者權限。

    這是如何發生的呢?這個問題的形式是當一個網站應用程式(例如PHP程式)在還沒過濾使用者提供的資訊就顯示在畫面中,如果一個使用者上傳了留言、評論或甚至是一個帳號與密碼,如果這些資訊接下來會顯示在網頁中,那麼其中可能就包含了應該被濾除的內容。這些內容也許是無傷大雅的(例如惡作劇),也或者會是嘗試要取得私人資訊的惡意程式碼,藉此闖入您的系統。通常這些內容會以程式碼的形式存在,因此才會取名為 '跨網站攻擊程式'。

    比較不會造成傷害的跨網站攻擊形式:

    * 嘗試要破壞網頁畫面配置與內容
    * 惡作劇程式、顯示討厭的訊息、廣告視窗等程式或物件

    比較嚴重的跨網站攻擊形式:

    * 產生可以誤導人們的網站連結,透過這些連結來引發一些動作,像是登出、發佈文章或是修改密碼等
    * 程式或帶有 "(script removed)" 的連結用來從 cookies 中蒐集個人資訊,接著將它們傳送到第三個網站,藉此取得系統的管理者權限
    * 嘗試攻擊特定瀏覽器已知安全弱點的物件或外掛程式

IP:3.235.65.91