漏洞危害
1) 釣魚欺騙:最典型的就是利用目标網站的反射型跨站腳本漏洞将目标網站重定向到釣魚網站,或者注入釣魚JavaScript以監控目标網站的表單輸入,甚至發起基于DHTML更高級的釣魚攻擊方式。
2) 網站挂馬:跨站時利用IFrame嵌入隐藏的惡意網站或者将被攻擊者定向到惡意網站上,或者彈出惡意網站窗口等方式都可以進行挂馬攻擊。
3) 身份盜用:Cookie是用戶對于特定網站的身份驗證标志(zhì),XSS可以盜取到用戶的Cookie,從而利用該Cookie盜取用戶對該網站的操作權限。如果一(yī)個網站管理員(yuán)用戶Cookie被竊取,将會對網站引發巨大(dà)的危害。
4) 盜取網站用戶信息:當能夠竊取到用戶Cookie從而獲取到用戶身份使,攻擊者可以獲取到用戶對網站的操作權限,從而查看用戶隐私信息。
5) 垃圾信息發送:比如在SNS社區中(zhōng),利用XSS漏洞借用被攻擊者的身份發送大(dà)量的垃圾信息給特定的目标群。
6) 劫持用戶Web行爲:一(yī)些高級的XSS攻擊甚至可以劫持用戶的Web行爲,監視用戶的浏覽曆史,發送與接收的數據等等。
7) XSS蠕蟲:XSS 蠕蟲可以用來打廣告、刷流量、挂馬、惡作劇、破壞網上數據、實施DDoS攻擊等。