【TechTarget中国原创】跨站脚本攻击(Cross-site scripting,XSS)使攻击者可以向网站发送自定义请求,造成被修改的Web或者邮件代码被发送给其它用户。也就是说,它允许攻击者利用Internet服务器中的漏洞或者弱点向其它用户发送恶意代码。XSS攻击被用于利用受害者系统上的漏洞发送恶意代码而不是攻击系统本身。
服务器的最严重的问题,它仍然很重要,需要严肃对待。通过XSS攻击发送给用户脚本或者代码可以在受害系统中的浏览器或者邮件查看其的安全环境中运行。在很多情况下,这可以允许对用户的所有个人数据资料以及系统本身相当大部分的全面读写访问权,例如驱动文件和配置设置。
在Microsoft Internet Security and Acceleration (ISA) Server 2000中曾经出现的漏洞就可以允许XSS。攻击者可以改变不成功页面请求中的错误页面或者从ISA向客户端发送的无效数据提交。错误页面可以更改,这样他们就可以把受害者导向下在恶意代码或者访问恶意网站。受到攻击的错误页面还可以在受害系统上强制自动下载或者进行URL活动。
上面提到的ISA中的漏洞可以通过简单的补丁修复。