XSS漏洞，属于脚本跨站攻击漏洞，通俗来讲就是在页面嵌入一些恶意代码使访问用户打开

页面直接执行一些恶意脚本，在owasp该漏洞排列在网站安全漏洞前五名，占据安全漏洞的百分

之二十的市场，很受黑客喜欢。但是XSS攻击带来的危害却很严重，大到可以盗取用户的账号密

码，以及用户登录的cookies，可以修改密码，窃取数据，篡改网站内容，网站挂马。
 

 

 

XSS漏洞详情

 

1. 网站程序代码中，在提交参数以及可以输入参数的地方，网站设计者没有对其提交过来的参数

进行安全过滤，导致可以返回数据到用户页面，利用参数中的特殊字符来构造恶意代码，黑客利

用该漏洞执行html代码，跳转到条鱼网站，诱惑用户点击并二次登陆网站，然后可以记录用户输

入的账号密码。

 

2. XSS网站挂马，网站存在XSS漏洞，攻击者可以利用该漏洞直接嵌入iframe代码，隐藏恶意网址

，将访问网站的用户，直接跳转弹窗等方式进行网站挂马。Sine安全公司是一家专注于：网站安

全、服务器安全、网站安全检测、网站漏洞修复,渗透测试,安全服务于一体的网络安全服务提供商。

 

3. 用户cookies盗用，cookies是一个网站用户登录后的一个身份验证，表明是这个用户的登录，

跨站攻击可以盗取用户的cookies，进行伪造登录网站，利用用户的身份，从而进行盗取用户的

资金，以及修改用户的账号密码，可以进行一切用户的网站操作。
 

 

4. 网站劫持，XSS变态攻击代码，可以对网站进行劫持，对网站的收录产生影响，吸引蜘蛛爬

取XSS代码里的内容，导致网站收录一些赌博相关的内容。
 

 

5. XSS蠕虫攻击，利用该漏洞可以进行网站挂马，以及刷访客流量，进行DDOS、CC攻击，以

及弹窗广告。

 

 

 

XSS跨站漏洞验证
 

在用户以及可以输入参数的地方，使用XSS攻击代码，"><img src=11 onerror=alert(sine)></img>

进行网站安全测试，也可以使用XSS安全检测工具，进行详细的安全检测，XSS攻击通用代码还

包含：/><script>alert(document.cookie)</script><!，<script>alert('sine')</script>

 

 

 

XSS跨站漏洞修复加固方案
 

 

XSS跨站漏洞，实际上一种html静态页面的代码注入，将代码注入到静态网页中去，在如何防止

XSS攻击上，主要就是对用户输入提交的数据进行安全过滤，对特殊的字符进行安全转义。对网

站里所有的输入包括iframe script等的特征代码，进行严谨的安全审计，包括用户交互功能，提

交，留言板等的接口，也需要在get post cookies变量中进行过滤。对其提交的数据长度，进行安

全限制，前端采用JS安全过滤，后端在服务器端里进行安全过滤。输出的数据也要过滤。