* 跨站腳本攻擊利用的重點(diǎn)是web用戶(瀏覽者)的安全意識(shí)
* 跨站腳本攻擊的技術(shù)重點(diǎn)在于腳本是在用戶端的瀏覽器上而非服務(wù)器端的服務(wù)上執(zhí)行
* 跨站腳本攻擊的方法重點(diǎn)在于讓用戶執(zhí)行藏有惡意代碼的鏈接
本文主要介紹跨站腳本攻擊的過程而不是技術(shù)細(xì)節(jié)。
我們假定三個(gè)角色:攻擊者����、用戶�、網(wǎng)上銀行��。
攻擊的流程主要分以下幾個(gè)步驟:
1����、攻擊者發(fā)送EMAIL��,其中帶有惡意腳本的鏈接(鏈接地址是網(wǎng)上銀行)����;或者攻擊者在某網(wǎng)站上掛接帶有惡意腳本的鏈接(鏈接地址是網(wǎng)上銀行);
2�、用戶點(diǎn)擊該鏈接�,連到網(wǎng)上銀行�,同時(shí),嵌入鏈接的腳本被用戶的瀏覽器執(zhí)行�,開始監(jiān)視用戶的網(wǎng)絡(luò)連接�;
3��、用戶在網(wǎng)上銀行中操作����,剛才被執(zhí)行的腳本收集用戶的session和cookie信息�,并且在用戶毫不知情的情況下發(fā)送給攻擊者;
4�、攻擊者用搜集來的session信息��,偽裝成合法用戶進(jìn)入該網(wǎng)上銀行進(jìn)行違法活動(dòng)。
由此可見��,該攻擊的重點(diǎn)在于要有可利用的腳本執(zhí)行的地方。只要有可利用來執(zhí)行腳本的空間,都是該攻擊可以實(shí)施的目標(biāo)��。
在目前����,跨站腳本是最大的安全風(fēng)險(xiǎn)。
維護(hù)瀏覽器安全,改變操作習(xí)慣�,認(rèn)真對(duì)待看到的信息����,不要隨意點(diǎn)擊您的鼠標(biāo)�。