漏洞危害
1) 釣魚欺騙:最典型的(de)就是利用目标網站的(de)反射型跨站腳本漏洞将目标網站重定向到釣魚網站,或者注入釣魚JavaScript以監控目标網站的(de)表單輸入,甚至發起基于DHTML更高(gāo)級的(de)釣魚攻擊方式。
2) 網站挂馬:跨站時利用IFrame嵌入隐藏的(de)惡意網站或者将被攻擊者定向到惡意網站上,或者彈出惡意網站窗口等方式都可(kě)以進行(xíng)挂馬攻擊。
3) 身份盜用:Cookie是用戶對于特定網站的(de)身份驗證标志,XSS可(kě)以盜取到用戶的(de)Cookie,從而利用該Cookie盜取用戶對該網站的(de)操作權限。如(rú)果一(yī)個網站管理(lǐ)員用戶Cookie被竊取,将會對網站引發巨大的(de)危害。
4) 盜取網站用戶信息:當能夠竊取到用戶Cookie從而獲取到用戶身份使,攻擊者可(kě)以獲取到用戶對網站的(de)操作權限,從而查看用戶隐私信息。
5) 垃圾信息發送:比如(rú)在SNS社區中,利用XSS漏洞借用被攻擊者的(de)身份發送大量的(de)垃圾信息給特定的(de)目标群。
6) 劫持用戶Web行(xíng)為(wèi):一(yī)些高(gāo)級的(de)XSS攻擊甚至可(kě)以劫持用戶的(de)Web行(xíng)為(wèi),監視(shì)用戶的(de)浏覽曆史,發送與接收的(de)數據等等。
7) XSS蠕蟲:XSS 蠕蟲可(kě)以用來打廣告、刷流量、挂馬、惡作劇、破壞網上數據、實施DDoS攻擊等。