标签： XSS攻击

这种利用类型的攻击早在06年就被安全研究人员指出，不过一直没有在国内重视。而由于我们国内大部分站点正是这种有漏洞的字符集，所以影响还是比较大，希望各大站快速修复。

近日提供DDoS防护的公司Incapsula透露全球第27大网站——搜狐网的一个XSS跨站脚本漏洞成为一起大规模僵尸网络DDoS攻击的源头,黑客掌握了搜狐网的一个存储型跨站脚本漏洞（这个漏洞现已被修复）。

随着网络时代的飞速发展,网络安全问题越来越受大家的关注，而SQL注入的攻击也随着各种防注入的出现开始慢慢的离我们而去，从而XSS跨站脚本攻击也慢慢的开始在最近几年崛起，也应对了’没有绝对的安全’这句话。

双因素认证并非神话：因拖库泄露密码等事件的影响，网络游戏、网银或后台登陆均开始采用U盾、数字令牌等。 乌云上有起直打软肋的案例，说到底：登陆的安全级别高了，但之后的认证信息依然脆弱容易泄露，黑客换了个角度就又是一轮血雨腥风。 可以看到，“遇见”管理后台采用了UKEY方式，一般而言，没有UKEY是无法登录的。 然而……屌丝黑客还是进来了……为了白富美！ 信息足够详细……活动区域赫然在目！ 当然，有些...

人民网北京7月7日电（记者赵艳红）记者今日从北京警方获悉，7月1日，恶意破坏新浪微博的犯罪嫌疑人罗某被警方刑事拘留。6月29日，新浪公司报警称，其新浪微博平台大量微博用户转发同一私信，数量持续增长，疑似遭到恶意破坏，带有恶意网址链接的信息大面积传播，短时间内新浪微博用户感染量达到6.9万余个，恶意网址链接转发40余万次，造成公司大量经济损失。

　　1 背景知识
　　
　　1.1 什么是XSS攻击
　　
　　XSS攻击：跨站脚本攻击（Cross Site Scripting），为不和层叠样式表（Cascading Style Sheets, CSS）的缩写混淆。故将跨站脚本攻击缩写为XSS。XSS是一种经常出现在web应用中的计算机安全漏洞，它允许恶意web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML代码和客户端脚本。攻击者利用XSS漏洞旁路掉访问控制——例如同源策略（same origin policy）。这种类型的漏洞由于被骇客用来编写危害性更大的phishing攻击而变得广为人知。对于跨站脚本攻击，黑客界共识是：跨站脚本攻击是新型的“缓冲区溢出攻击”，而JavaScript是新型的“ShellCode”。
...