Para recopilar información del usuario, los atacantes suelen insertar JavaScript, VBScript, ActiveX o Flash en programas vulnerables para engañar a los usuarios (ver detalles a continuación). Una vez que tienen éxito, pueden robar cuentas de usuario, modificar la configuración del usuario, robar/contaminar cookies, hacer publicidad falsa, etc. Cada día aparece una gran cantidad de códigos maliciosos de ataques XSS. El siguiente artículo de Brett Moore detalla los "ataques de denegación de servicio" y los "ataques automatizados" que pueden ocurrirle a los usuarios simplemente leyendo un artículo. 1.Inyección HTML. Todos los ejemplos de inyección de HTML solo inyectan un cuadro de alerta emergente de JavaScript: alerta (1).
2. Hacer cosas malas. Si cree que el cuadro de advertencia no es lo suficientemente interesante, hay todo tipo de cosas maliciosas que un atacante puede hacer cuando una víctima hace clic en un enlace a una página que tiene código HTML inyectado.
3. Atrapar a la víctima. Incidente de ataque del "virus Weibo"
Reseña:
En la noche del 28 de junio de 2011, se produjo un incidente de ataque XSS relativamente grande en Sina Weibo. Una gran cantidad de usuarios enviaron automáticamente mensajes como: "Algunos detalles desapercibidos del incidente de Guo Meimei", "Parte de la conspiración en la fundación del partido", "100 poemas que hacen palpitar el corazón de las mujeres", "Bola de carne en 3D de alta- definición de semillas en mandarín", "Estos son la pareja legendaria de dioses y dioses", "¡Impactantes! Las fotos de desnudos de Fan Bingbing realmente se han filtrado", etc. en Weibo y mensajes privados, y automáticamente siguió a un usuario llamado hellosamy.
Las pistas del incidente son las siguientes:
A las 20:14, un gran número de usuarios autenticados con V comenzaron a ser infectados por el gusano de reenvío
A las 20:30, no se puede acceder a un determinado sitio web. No se puede acceder a la página del virus
20:32, el usuario de hellosamy en Sina Weibo no puede acceder
21:02, se completó el parche de vulnerabilidad de Sina. Con la tecnología AJAX (JavaScript y XML asincrónicos, JavaScript y XML asincrónicos), el daño de los ataques XSS se amplificará. La mayor ventaja de utilizar AJAX es que no es necesario actualizar toda la página para mantener los datos y la aplicación web puede responder a las solicitudes de los usuarios más rápidamente. AJAX procesa información rica de servidores web y de terceros, lo que brinda buenas oportunidades para ataques XSS. La arquitectura de la aplicación AJAX filtrará más detalles de la aplicación, como nombres de funciones y variables, parámetros de funciones y tipos de retorno, tipos de datos y rangos válidos, etc. La arquitectura de aplicaciones AJAX también tiene más entradas de aplicaciones que la arquitectura tradicional, lo que aumenta los puntos de ataque.