前几天在看软考信息安全工程师题目的时候,做到关于 XSS 跨站脚本攻击的一个题目:
下面关于跨站攻击描述不正确的是( ) A. 跨站脚本攻击指的是恶意攻击者向Web 页里面插入恶意的Html 代码 B. 跨站脚本攻击简称XSS C. 跨站脚本攻击者也可称作CSS D. 跨站脚本攻击是主动攻击 参考答案:D 试题解析:跨站攻击(Cross Site Script Execution,XSS)是恶意攻击者向Web页面里插入恶意Html代码,当用户浏览该页时,嵌入Web中的Html代码会被执行,从而达到恶意用户的特殊目的。造成XSS攻击的原因是网站程序对用户的输入过滤不足,不修改任何数据,属于被动攻击。
为什么 XSS 是被动攻击一开始还不是很理解,后来一想是对的。因为它完全没有向受害者发数据包啊,只是受害者自已打开的。被动攻击是收集信息。XSS确实是被动攻击:你主动,他人被动,是一个触发机制。主动是hacker在做,被动是hacker等你做。主动偏破坏,被动偏信息获取。XSS全名是Cross Site Scripting,其实是叫CSS。
扩展阅读:什么是主动攻击和被动攻击?区别是什么?