安恒信息学校Web应用系统安全解决方案

核心提示： 图一 SQL攻击实例2.1.3 XSS跨站攻击跨站脚本攻击简称为XSS又叫CSS (Cross Site Script Execution)，是指服务器端的CGI程序没有对用户提交的变量中的HTML代码进行有效的过滤或转换，安恒信息学校Web应用系统安全解决方案(6)，允许攻击者往WEB页面里插

图一 SQL攻击实例

2.1.3 XSS跨站攻击

跨站脚本攻击简称为XSS又叫CSS (Cross Site Script Execution)，是指服务器端的CGI程序没有对用户提交的变量中的HTML代码进行有效的过滤或转换，允许攻击者往WEB页面里插入对终端用户造成影响或损失的HTML代码。

跨站脚本漏洞攻击不是对服务器的实际攻击，而是利用服务器把访问该站点的用户作为攻击目标。当用户浏览该页之时，嵌入其中WEB里面的HTML代码会被执行，从而达到恶意用户的特殊目的，如获取其他用户Cookie中的敏感数据、屏蔽页面特定信息、伪造页面信息、拒绝服务攻击、突破外网内网不同安全设置、与其它漏洞结合，修改系统设置，查看系统文件，执行系统命令等。

XSS漏洞很容易在学校WEB应用系统中发现。XSS漏洞攻击是最为常见的基于WEB应用系统漏洞，面向客户端的攻击手段。

某著名大学XSS跨站演示

2.1.4 表单绕过攻击

WEB网站采用表单来收集访问者的用户名和密码以确认其是否具有足够权限访问某些保密信息，然后该表单被发送到 Web 服务器进行处理。接下来，服务器端ASP脚本根据表单提供的信息生成SQL指令语句提交到SQL服务器，并通过分析SQL服务器的返回结果来判断该用户名 /密码组合是否有效。表单绕过攻击就是指利用表单存在的安全漏洞，通过构造一些畸形的特殊提交语句，绕过表单安全认证的一种攻击手段。