* 跨站腳本攻擊利用的重點(diǎn)是web用戶(瀏覽者)的安全意識(shí)
* 跨站腳本攻擊的技術(shù)重點(diǎn)在于腳本是在用戶端的瀏覽器上而非服務(wù)器端的服務(wù)上執(zhí)行
* 跨站腳本攻擊的方法重點(diǎn)在于讓用戶執(zhí)行藏有惡意代碼的鏈接
本文主要介紹跨站腳本攻擊的過(guò)程而不是技術(shù)細(xì)節(jié)。
我們假定三個(gè)角色:攻擊者、用戶、網(wǎng)上銀行。
攻擊的流程主要分以下幾個(gè)步驟:
1、攻擊者發(fā)送EMAIL,其中帶有惡意腳本的鏈接(鏈接地址是網(wǎng)上銀行);或者攻擊者在某網(wǎng)站上掛接帶有惡意腳本的鏈接(鏈接地址是網(wǎng)上銀行);
2、用戶點(diǎn)擊該鏈接,連到網(wǎng)上銀行,同時(shí),嵌入鏈接的腳本被用戶的瀏覽器執(zhí)行,開始監(jiān)視用戶的網(wǎng)絡(luò)連接;
3、用戶在網(wǎng)上銀行中操作,剛才被執(zhí)行的腳本收集用戶的session和cookie信息,并且在用戶毫不知情的情況下發(fā)送給攻擊者;
4、攻擊者用搜集來(lái)的session信息,偽裝成合法用戶進(jìn)入該網(wǎng)上銀行進(jìn)行違法活動(dòng)。
由此可見,該攻擊的重點(diǎn)在于要有可利用的腳本執(zhí)行的地方。只要有可利用來(lái)執(zhí)行腳本的空間,都是該攻擊可以實(shí)施的目標(biāo)。
在目前,跨站腳本是最大的安全風(fēng)險(xiǎn)。
維護(hù)瀏覽器安全,改變操作習(xí)慣,認(rèn)真對(duì)待看到的信息,不要隨意點(diǎn)擊您的鼠標(biāo)。