作者:Demon
在我看来XSS使整个
web体系变得具有 灵性 了,早年期间XSS
漏洞不流行的时候,随手在某个网站上输入一个">, 回显出来就有可能够把局部页面弄乱,这样的WEB站点如同一个没有生命的机器人一般。而随着XSS漏洞的不断流行,各种猥琐流思路的不断出现。程序员的安全意识也逐渐提高,各种过滤机制也不断在完善。使得国内整体的web体系变得越来越有”智能“的感觉了,仿佛像一个有生命的士兵,和
黑客们见招拆招,一攻一防。可以说一个国家网站的XSS防御体系的强弱间接的反映出了这个国家的黑客
技术的高低以及黑客圈内的活跃程度。
XSS攻击也应正了安全圈内非常有名的一句话:
所有的输入都是有害的。
这句话把XSS漏洞的本质体现的淋漓尽致。的确,XSS漏洞可出现的点非常多,肉眼看的到的输入,肉眼看不见(例如Flash XSS,某些抓包才看得到的接口)的输入都可能成为XSS漏洞的一个点切入进去,变成一个漏洞,每个点又能展开分为不同的方式去实现、绕过它,这让XSS漏洞瞬息万变,也是XSS攻击的魅力所在。
同时XSS对整个WEB安全来说也是具有重大意义的,可以说如果没有XSS的兴起,那我们就不能像现在如此放心的浏览网站了,而是会担心各种“被中招”: 钓鱼、盗号、蠕虫、恶意广告 等。所以XSS在WEB安全中拥有一个举足轻重的地位。
而XSS对白帽子来说仍是作为各大 *SRC的主要刷分来源之一,由于XSS漏洞的瞬息万变,切入点多,可变性强。导致了国内大型站点到至今还仍然存在许多XSS漏洞等待着白帽子们去挖掘和探索。加上各大*SRC的奖励机制丰富,所以XSS漏洞让许多白帽子变得更加富有了,哈哈,当然,这并不是无意义的,相反,细节做得好,对整个企业安全打磨来说,才是最有益的。而对黑产来说,一个大站的XSS则是他们流量的来源,例如一个社交站点的XSS漏洞黑产们能够利用它做非常多的事情,广告植入、信息收集、流量转发甚至是路由劫持等等各种猥琐的想法,没有做不到,只有想不到。在短时间内能给他们带来相当可观的收益。
总之XSS攻击在现在XSS防御体系越来越完善的节奏下,越来越走向了猥琐之路。
