跨站脚本(XSS)是一种在 web 应用程序中常见的漏洞。此漏洞使得攻击者能够将恶意代码
(例如 JavaScript 程序)注入受害者的 web 浏览器。利用这种恶意代码,攻击者可以窃取受害者的身份信息,
例如 session cookie。攻击者利用这个漏洞,可以绕过浏览器的访问控制机制。
为了演示攻击者通过利用 XSS 漏洞能够做到的事情,我们已经在预构建的 Ubuntu 虚拟机镜像中设置了 一个名为 Elgg 的 web 应用程序。Elgg 是一个流行的开源社交 网络应用程序,并且已经实现了许多对策来应对 XSS 威胁。为了演示如何实现 XSS 攻击, 我们在安装过程中注释掉了相应的代码,故意使 Elgg 暴露在 XSS 攻击之下。 没有这些防疫措施,用户可以在该社交网络发布任意消息,包括 JavaScript 程序。