跨站腳本攻擊，簡(jiǎn)稱XSS，是一種網(wǎng)站應(yīng)用程序的安全漏洞攻擊，屬于代碼注入的一種;與其他攻擊相比，XSS攻擊所帶來(lái)的危害更大，那么常用的XSS攻擊手段和目的有哪些?我們來(lái)看看詳細(xì)的內(nèi)容介紹。

　　人們經(jīng)常將跨站腳本攻擊縮寫(xiě)為CSS，但這會(huì)與層疊樣式表的縮寫(xiě)混淆。因此，將跨站腳本攻擊縮寫(xiě)為XSS。

　　跨站腳本攻擊XSS，是最普遍的Web應(yīng)用安全漏洞。這類漏洞能夠使得攻擊者嵌入惡意腳本代碼到正常用戶會(huì)訪問(wèn)到的頁(yè)面中，當(dāng)正常用戶訪問(wèn)該頁(yè)面時(shí)，則可導(dǎo)致嵌入的惡意腳本代碼的執(zhí)行，從而達(dá)到惡意攻擊用戶的目的。

　　攻擊者可以使用戶在瀏覽器中執(zhí)行其預(yù)定義的惡意腳本，其導(dǎo)致的危害可想而知，如劫持用戶會(huì)話，插入惡意內(nèi)容、重定向用戶、使用惡意軟件劫持用戶瀏覽器、繁殖XSS蠕蟲(chóng)，甚至破壞網(wǎng)站、修改路由器配置信息等。

　　常用的XSS攻擊手段和目的有：

　　1、盜用cookie，獲取敏感信息。

　　2、利用植入Flash，通過(guò)crossdomain權(quán)限設(shè)置進(jìn)一步獲取更高權(quán)限;或者利用Java等得到類似的操作。

　　3、利用iframe、frame、XMLHttpRequest或上述Flash等方式，以用戶的身份執(zhí)行一些管理動(dòng)作，或執(zhí)行一些一般的如發(fā)微博、加好友、發(fā)私信等操作。

　　4、利用可被攻擊的域受到其他域信任的特點(diǎn)，以受信任來(lái)源的身份請(qǐng)求一些平時(shí)不允許的操作，如進(jìn)行不當(dāng)?shù)耐镀被顒?dòng)。

　　5、在訪問(wèn)量極大的一些頁(yè)面上的XSS可以攻擊一些小型網(wǎng)站，實(shí)現(xiàn)DDos攻擊的效果。