漏洞危害
1) 釣魚欺騙:最典型的就是利用目标網站的反射型跨站腳本漏洞將(jiāng)目标網站重定向(xiàng)到釣魚網站,或者注入釣魚JavaScript以監控目标網站的表單輸入,甚至發(fā)起(qǐ)基于DHTML更高級的釣魚攻擊方式。
2) 網站挂馬:跨站時利用IFrame嵌入隐藏的惡意網站或者將(jiāng)被(bèi)攻擊者定向(xiàng)到惡意網站上,或者彈出惡意網站窗口等方式都(dōu)可以進(jìn)行挂馬攻擊。
3) 身份盜用:Cookie是用戶對(duì)于特定網站的身份驗證标志,XSS可以盜取到用戶的Cookie,從而利用該Cookie盜取用戶對(duì)該網站的操作權限。如果一個網站管理員用戶Cookie被(bèi)竊取,將(jiāng)會(huì)對(duì)網站引發(fā)巨大的危害。
4) 盜取網站用戶信息:當能(néng)夠竊取到用戶Cookie從而獲取到用戶身份使,攻擊者可以獲取到用戶對(duì)網站的操作權限,從而查看用戶隐私信息。
5) 垃圾信息發(fā)送:比如在SNS社區中,利用XSS漏洞借用被(bèi)攻擊者的身份發(fā)送大量的垃圾信息給特定的目标群。
6) 劫持用戶Web行爲:一些高級的XSS攻擊甚至可以劫持用戶的Web行爲,監視用戶的浏覽曆史,發(fā)送與接收的數據等等。
7) XSS蠕蟲:XSS 蠕蟲可以用來打廣告、刷流量、挂馬、惡作劇、破壞網上數據、實施DDoS攻擊等。