星期日, 7月 30, 2006

XSS

XSS Cross Site Scripting的意思
那為什麼不叫作CSS 呢? 因為CSS 已經被用走了 XD
CSS的意思是Cascading Style Sheets 是一種 style sheet (廢話), 是現在設計網頁不可或缺的元素

XSS 可以說是 Html Injection, 不過威力沒有SQL Injection大(個人認為)
不過也是不能小看的喔...嘿嘿嘿...

運作的方式其實跟SQL injection類似
都是透過網頁程式設計者沒有對使用者的輸入作一些filter的動作
而達到有心人可以把想要的語法插入網頁中
造成一些間接的操作...

這邊有個不錯的可以參考...
http://ha.ckers.org/xss.html

不過網路上XSS 洞一堆, 連kimo, 無名也是有這些破口
當網站越大, 就越容易出現這種不小心, 誰知道會被用來做什麼呢:D

沒有留言: