XSS漏洞，屬於腳本跨站攻擊漏洞，通俗來講就是在頁面嵌入一些惡意代碼使訪問用戶打開

頁面直接執行一些惡意腳本，在owasp該漏洞排列在網站安全漏洞前五名，佔據安全漏洞的百分

之二十的市場，很受駭客喜歡。但是XSS攻擊帶來的危害卻很嚴重，大到可以盜取用戶的賬號密

碼，以及用戶登錄的cookies，可以修改密碼，竊取數據，篡改網站內容，網站掛馬。
 

 

 

XSS漏洞詳情

 

1. 網站程序代碼中，在提交參數以及可以輸入參數的地方，網站設計者沒有對其提交過來的參數

進行安全過濾，導致可以返回數據到用戶頁面，利用參數中的特殊字符來構造惡意代碼，駭客利

用該漏洞執行html代碼，跳轉到條魚網站，誘惑用戶點擊並二次登陸網站，然後可以記錄用戶輸

入的賬號密碼。

 

2. XSS網站掛馬，網站存在XSS漏洞，攻擊者可以利用該漏洞直接嵌入iframe代碼，隱藏惡意網址

，將訪問網站的用戶，直接跳轉彈窗等方式進行網站掛馬。eSafe白帽資安網公司是一家專注於：網站安

全、主機安全、網站安全檢測、網站漏洞修復,滲透測試,安全服務於一體的網絡安全服務提供商。

 

3. 用戶cookies盜用，cookies是一個網站用戶登錄後的一個身份驗證，表明是這個用戶的登錄，

跨站攻擊可以盜取用戶的cookies，進行偽造登錄網站，利用用戶的身份，從而進行盜取用戶的

資金，以及修改用戶的賬號密碼，可以進行一切用戶的網站操作。
 

 

4. 網站劫持，XSS變態攻擊代碼，可以對網站進行劫持，對網站的收錄產生影響，吸引蜘蛛爬

取XSS代碼裡的內容，導致網站收錄一些賭博相關的內容。
 

 

5. XSS蠕蟲攻擊，利用該漏洞可以進行網站掛馬，以及刷訪客流量，進行DDOS、CC攻擊，以

及彈窗廣告。

 

 

 

XSS跨站漏洞驗證
 

在用戶以及可以輸入參數的地方，使用XSS攻擊代碼，"><img src=11 onerror=alert(esafe)></img>

進行網站安全測試，也可以使用XSS安全檢測工具，進行詳細的安全檢測，XSS攻擊通用代碼還

包含：/><script>alert(document.cookie)</script><!，<script>alert('esafe')</script>

 

 

 

XSS跨站漏洞修復加固方案
 

 

XSS跨站漏洞，實際上一種html靜態頁面的代碼注入，將代碼注入到靜態網頁中去，在如何防止

XSS攻擊上，主要就是對用戶輸入提交的數據進行安全過濾，對特殊的字符進行安全轉義。對網

站裡所有的輸入包括iframe script等的特徵代碼，進行嚴謹的安全審計，包括用戶交互功能，提

交，留言板等的接口，也需要在get post cookies變量中進行過濾。對其提交的數據長度，進行安

全限制，前端採用JS安全過濾，後端在主機端裡進行安全過濾。輸出的數據也要過濾。