6. 主要的攻击方式—XSS XSS在web1.0诞生,在web2.0时代出名。 1996年就有人提到了这类攻击。[Jeremiah Grossman说的] 1999年David Ross和GeorgiGuninski提出“Script injection”。 2000年apache官方一篇文档里正式取名“Cross Site Scripting”。 2005年samy worm诞生,标志着XSS进入web2.0时代,xss火了! 2007年出版的《XSS Attacks Book》提出:“XSS is the New Buffer Overflow, JavaScript Malware is the new shell code”
7. 主要的攻击方式—XSS/CSS XSS又叫CSS (Cross Site Script) ,跨站脚本攻击。 它指的是恶意攻击者往Web页面里插入恶意html/js代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意攻击用户的特殊目的。 XSS属于被动式的攻击,因为其被动且不好利用,所以在web1.0时代一直未被重视,web2.0时代许多开发人员依然忽略其危害性。
9. 主要的攻击方式—XSS/CSS Demo http://www.baixing.com/wo/myinfo/?query=%3Cscript%3Ealert(/xss/)%3C/script%3E&src=null http://demo.piao2010.com/xss/demo.php?name=piaoling<script>alert(/xss/);</script> http://demo.piao2010.com/xss/demo.php?name=piaoling<script>window.location.href="http://taobao.com"</script> 跳转到淘宝网 如果情况相反又如何? From taobao.com to evil site 造成的危害是巨大的