* 跨站脚本攻击利用的重点是web用户(浏览者)的安全意识
* 跨站脚本攻击的技术重点在于脚本是在用户端的浏览器上而非服务器端的服务上执行
* 跨站脚本攻击的方法重点在于让用户执行藏有恶意代码的链接
本文主要介绍跨站脚本攻击的过程而不是技术细节。
我们假定三个角色:攻击者、用户、网上银行。
攻击的流程主要分以下几个步骤:
1、攻击者发送EMAIL,其中带有恶意脚本的链接(链接地址是网上银行);或者攻击者在某网站上挂接带有恶意脚本的链接(链接地址是网上银行);
2、用户点击该链接,连到网上银行,同时,嵌入链接的脚本被用户的浏览器执行,开始监视用户的网络连接;
3、用户在网上银行中操作,刚才被执行的脚本收集用户的session和cookie信息,并且在用户毫不知情的情况下发送给攻击者;
4、攻击者用搜集来的session信息,伪装成合法用户进入该网上银行进行违法活动。
由此可见,该攻击的重点在于要有可利用的脚本执行的地方。只要有可利用来执行脚本的空间,都是该攻击可以实施的目标。
在目前,跨站脚本是最大的安全风险。
维护浏览器安全,改变操作习惯,认真对待看到的信息,不要随意点击您的鼠标。