Cross-site scripting

跨網站指令碼

針對網站應用程式漏洞之攻擊手法,此種手法 允許駭客將HTML及Script程式碼插入到網頁中 – 若網頁被插入Cross Site Scripting語法,將造成其 他使用者觀看網頁時受到影響 。

擷取使用者的 的cookie或是session,或是假冒直接登入為合法使用者。

若網頁被插入惡意的 Script,但使用者認為是可信 的,當 Browser 下載該網頁時,嵌入其中的惡意 Script 就會被執行。

當使用GET方法傳遞參數的時候,例如在URL中加入JavaScript,若彈出警告視窗, 則表示該URL的該參數具有XSS弱點。

XSS可能造成的危害

 加密連線失效,駭客竊取使用者的個人資料。

 駭客冒用使用者身分,存取具身分控管機制的網 站。

 重導瀏覽器連線至釣魚網站,騙取帳號密碼等個 人資訊。

 將使用者瀏覽器導向惡意網站,下載並安裝後門 程式於使用者電腦中。

 使用者瀏覽器無法正常

檢查網站應用程式安全性(測試及維護階段)

 弱點掃描 (透過軟體工具)

 滲透測試