跨站脚本攻击是向 Web 系统提交恶意脚本,当访问者浏览受到攻击的网页时,会导致恶意脚本
被执行,从而泄露用户的密码等敏感信息。如果访问者是管理员,则 Web 系统的管理员权限将
有可能泄露,使得攻击者可以提升权限、甚至控制整个网站,其威胁程度更大、威胁波及面更广,
同时攻击过程也更加复杂多变。
[attach]111443[/attach]
Web 应用是由动态脚本、编译过的代码等组合而成。它通常架设在 Web 服务器上,用户通过
Web 浏览器发送请求,这些请求使用 HTTP 等协议,经过 Internet和企业的 Web 应用交互,由
Web 应用和企业后台的数据库及其他动态内容通信。
用户通过浏览器访问服务器上的资源,采用的是请求---应答模式。用户一般通过浏览器发送请
求,然后得到访问结果,而一般用户不用关心后台是如何处理的,而黑客所要做的事情,就是
想方设法干预后台处理过程,从而得到他们希望得到的信息。黑客会选择从 HTTP等协议端口
进行入侵,扫描 Web 应用程序和服务器等漏洞,发动网络攻击。
Web 应用程序漏洞产生的核心问题:用户能够提交任意的数据,而服务器端没有进行有效的验
证。从软件实现的角度来说,主要是编程时,程序员对安全问题考虑不周,另外
软件的部署和配置管理由于疏忽,往往也会存在一定的安全隐患。 因为操作、管理、维护软件
的是人,而整个 Web 系统的安全性取决于系统中最薄弱的环节,所以攻击者往往只需要一个切
入点,就可能导致系统的崩溃瓦解。