标签： 跨站脚本攻击

这种利用类型的攻击早在06年就被安全研究人员指出，不过一直没有在国内重视。而由于我们国内大部分站点正是这种有漏洞的字符集，所以影响还是比较大，希望各大站快速修复。

如果，我们把网络空间分为三大组成部分（云->管->端）来看的话，现在的云几乎都是基于 Web 的成熟协议来对外提供服务的，比如 HTTP 协议，最流行的传输格式是 JSON，其次如 XML 等。

随着网络时代的飞速发展,网络安全问题越来越受大家的关注，而SQL注入的攻击也随着各种防注入的出现开始慢慢的离我们而去，从而XSS跨站脚本攻击也慢慢的开始在最近几年崛起，也应对了’没有绝对的安全’这句话。

双因素认证并非神话：因拖库泄露密码等事件的影响，网络游戏、网银或后台登陆均开始采用U盾、数字令牌等。 乌云上有起直打软肋的案例，说到底：登陆的安全级别高了，但之后的认证信息依然脆弱容易泄露，黑客换了个角度就又是一轮血雨腥风。 可以看到，“遇见”管理后台采用了UKEY方式，一般而言，没有UKEY是无法登录的。 然而……屌丝黑客还是进来了……为了白富美！ 信息足够详细……活动区域赫然在目！ 当然，有些...

人民网北京7月7日电（记者赵艳红）记者今日从北京警方获悉，7月1日，恶意破坏新浪微博的犯罪嫌疑人罗某被警方刑事拘留。6月29日，新浪公司报警称，其新浪微博平台大量微博用户转发同一私信，数量持续增长，疑似遭到恶意破坏，带有恶意网址链接的信息大面积传播，短时间内新浪微博用户感染量达到6.9万余个，恶意网址链接转发40余万次，造成公司大量经济损失。

凤凰网科技讯6月28日晚间消息，今天晚上新浪微博出现部分用户大量“刷屏”情况，业内人士确认是“微博病毒”爆发。

新浪微博刷屏病毒链接

据了解，用户中毒后会在短时间内自动发布“建党大业中穿帮的地方”、“3D肉团团高清普通话版种子”等大量带链接内容，同时会向粉丝发送带病毒链接的私信，中毒用户反映，粉丝

　　xss简单渗透测试
　　
　　Author: jianxin [80sec]
　　EMail: jianxin#80sec.com
　　Site: http://www.80sec.com
　　Date: 2008-12-24
　　From: http://www.80sec.com/release/xss-how-to-root.txt
　　
　　[ 目录 ]
　　
　　0×00 前言
　　0×01 xss渗透测试基本思路
　　0×02 一次黑盒的xss渗透测试
　　0×03 一次白盒的xss渗透测试
...

　　1、引言

　　跨站点请求伪造（Cross—Site Request Forgery）。以下简称CSRF。是一种广泛存在的网站漏洞。Gmail、YouTube等着名网站都有过CSRF漏洞。甚至包括“ING DIRECT”这样的荚国第四大储蓄银行的金融机构网站。2009年3月着名网络安全机构SANS与MITRE结合来自全球超过30个软件工作者及安全专家，将CSRF列为最危险的25个编程错误之一。

　　2、现有的Web安全缺陷

　　2.1 Web安全策略

　　与CSRF有关的主要有三个Web安全策略：同源策略、Cookie安全策略和Flash安全策略。
...

　　1 背景知识
　　
　　1.1 什么是XSS攻击
　　
　　XSS攻击：跨站脚本攻击（Cross Site Scripting），为不和层叠样式表（Cascading Style Sheets, CSS）的缩写混淆。故将跨站脚本攻击缩写为XSS。XSS是一种经常出现在web应用中的计算机安全漏洞，它允许恶意web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML代码和客户端脚本。攻击者利用XSS漏洞旁路掉访问控制——例如同源策略（same origin policy）。这种类型的漏洞由于被骇客用来编写危害性更大的phishing攻击而变得广为人知。对于跨站脚本攻击，黑客界共识是：跨站脚本攻击是新型的“缓冲区溢出攻击”，而JavaScript是新型的“ShellCode”。
...

QQ有朋友发给我一个地址http://t.people.com.cn，是人民网的微博频道，貌似今天刚开业？结果打开后发现…… 再刷新一下： 看下下面的内容： 跨站……人民网微博频道很郁闷？抓图时间：2009年12月22日15:15，截止到15:25，已经不再弹出窗口，人民网行动够快…… 相关：抗议MSN数码IT频道转载本博文章并抹去水印的行为