2010年11月19日 星期五

XSS 跨站指令碼 ( Cross-Site Scripting )

XSS 為跨站指令碼,針對任何網站出現的安全性漏洞加以攻擊,小從惡作劇大到個人資料外洩,駭客 ( hacker ) 更可能取得管理者的權限,做出一些不可預期的事情。

一般論壇、留言板、...等,都有可能會產生這種情況。假設駭客 ( hacker ) 在某論壇上留了一篇文章並且有一段 script 碼導向到他的網頁,駭客的網頁是分析 cookie 內資訊並且紀錄。而網友甲在打上帳號和密碼登入某論壇,注意了,只要是保持登入狀態就會記錄 cookie。而網友甲瀏覽到駭客的文章並且點擊駭客的連結,此時網友甲的 cookie 會被帶到駭客的網頁,如此一來,網友甲的資料就會被竊取。

其實只要能讓駭客在文章上留下 script 碼,接下來就是等網友點擊,最後駭客所該做的就是分析 cookie 內的資訊,再來只能任他為所欲為了。

回首頁

沒有留言 :

張貼留言

Related Posts Plugin for WordPress, Blogger...