사용자 정보를 수집하기 위해 공격자는 일반적으로 취약점이 있는 프로그램에 자바스크립트, VBScript, ActiveX 또는 Flash 를 삽입하여 사용자를 속인다 (아래 참조). 일단 성공하면, 그들은 사용자 계정을 훔치고, 사용자 설정을 수정하고, 쿠키를 도용/오염시키고, 허위 광고를 할 수 있다. 매일 대량의 XSS 공격의 악성 코드가 나타난다. Brett Moore 의 다음 문장 기사에서는' 서비스 거부 공격' 과 사용자가 문장 한 편만 읽으면 받는' 자동 공격' 에 대해 자세히 설명합니다. 1.HTML 주입. 모든 HTML 주입 샘플은 JavaScript 팝업 경고 상자인 alert(1) 만 주입합니다.

2. 나쁜 짓을 하다. 경고 상자가 충분히 자극적이지 않다고 생각되면 피해자가 HTML 코드에 주입된 페이지 링크를 클릭했을 때 공격자가 할 수 있는 각종 악의적인 일을 클릭한다.

3. 피해자를 유인하다. 웨이보 바이러스 공격 사건

검토:

2011 년 6 월 28 일 밤 시나웨이보에서 비교적 큰 XSS 공격 사건이 발생했다. 많은 사용자들이 자동으로' 곽미미 사건의 미처 알아차리지 못한 세부 사항',' 창당 대업에서 갱단을 입은 곳',' 여자의 마음을 설레게 하는 시 100 구',' 3D 고기 덩어리 HD 표준어판 씨앗',' 전설의 신선 커플아',' 놀라워! 판빙빙 선정사진이 정말 흘러나왔다 "등 웨이보와 사신을 기다리며 헬로 사미라는 사용자를 자동으로 주목했다.

사건의 경위는 다음과 같다.

20: 14, 많은 수의 V 를 가진 인증 사용자가 웜을 모집하기 시작했습니다

20: 30, 한 사이트의 바이러스 페이지에 액세스할 수 없음

20: 32, 시나웨이보에서 헬로 새미 사용자는

21: 02, 시나닷컴 취약점 패치가 완료되었습니다. Ajax (Asynchronous JavaScript and XML, 비동기 Javascript 및 XML) 기술의 일반적인 적용으로 XSS 의 공격 위험이 확대됩니다. AJAX 사용의 가장 큰 장점은 전체 페이지를 업데이트하지 않고도 데이터를 유지 관리할 수 있고 웹 응용 프로그램이 사용자 요청에 더 빠르게 응답할 수 있다는 것입니다. AJAX 는 웹 서버와 타사의 풍부한 정보를 처리하여 XSS 공격에 좋은 기회를 제공합니다. AJAX 응용 프로그램 아키텍처는 함수 및 변수 이름, 함수 매개 변수 및 반환 유형, 데이터 유형, 유효 범위 등 더 많은 응용 프로그램의 세부 사항을 노출합니다. AJAX 응용 프로그램 아키텍처에는 기존 아키텍처보다 더 많은 응용 프로그램 입력이 있어 공격받을 수 있는 지점이 늘어납니다.