图解:XSS攻击是如何工作的
目前,访问量排名在前1000名的热门网站中,有6%的网站已经成为了XSS攻击的受害者。
自从现代Web开发技术诞生以来,跨站脚本攻击以及基于Web的安全漏洞就一直围绕在我们身边,也就是我们将要给大家介绍的XSS攻击。
XSS攻击占当今Web攻击总数的12.75%,在所有报告出来了的漏洞中,大约70%都是与XSS攻击有关的。几乎90%的网站都会有至少一个XSS漏洞。
除了DDOS(分布式拒绝服务)攻击和SQL注入攻击之外,XSS攻击可以算得上是第三大Web攻击了。
在过去,类似推ter,非死book,油Tube,雅虎,MySpace或者Paypal等鼎鼎大名的网站都遭受过这种攻击。
XSS攻击曾给雅虎公司造成过非常严重的损失,所以雅虎公司非常重视这一问题,该公司的工程师们开源了一系列的 XSS过滤器 ,这样一来,其他的Web开发人员就可以从他们的工作中获益了。
最近,甚至类似Popcorn Time等基于桌面的软件都有可能会受到XSS攻击的影响。这是因为,Popcorn Time不同于传统的那些 使用C++或C#开发出来的工具,它是用Node.js开发出来的,与此同时,还有一个使用JavaScript开发的非常复杂的服务器端。
XSS攻击主要有两类:Reflected和Stored
攻击者可以精心设计一个恶意的URL地址,当Web服务器通过一个单独的响应请求来执行这个恶意的URL地址时,Reflected XSS攻击 也就发生了。这种XSS攻击是最常见的,而且生命周期很短,一次将影响一名用户。这种攻击还被人们称为first-order XSS攻击,第一类XSS 攻击,或者非持续性XSS攻击。
Stored XSS攻击是这两种攻击之中破坏性最强的,这种类型的XSS攻击可以一次攻击非常多的目标,它需要攻击者精心设计一个恶意脚本,并 将其评论或数据库项的形式存储在Web服务器的数据库中。这样一来,即使是访问网站的用户没有点击那个经过特殊设计的恶意URL链接,这些恶意文件中的内 容也可以显示给用户。人们也将这种攻击称为second-order XSS攻击,第二类XSS攻击,或者持续性XSS攻击。
在这里,我们将会通过下面的图片来给大家详细介绍XSS攻击,也许下面的图片可以让那些对此毫无头绪的人们找到切入点。下面的这些图片是由 Barricade 的Jack Leonard制作完成的,这是一家爱尔兰的公司,该公司主要是为中小型企业提供安全产品。除了XSS攻击之外,如果大家需要了解 DDOS攻击 和 SQL注入攻击 的话,可以查看我们之前所发表的文章。
本文由 360安全播报 翻译,转载请注明“转自360安全播报”,并附上链接。
原文链接: http://news.softpedia.com/news/infographic-how-xss-attacks-work-490686.shtml