我对安全风险有所了解,也知道 Javascript 可能很危险,会危及我的电脑安全,一切都很好,但是突然读到一篇文章开放Web服务计划上面说 XSS(跨站点脚本)是最常见的攻击类型,我尝试在互联网上搜索,我怎么才能知道 javascript 到底在做什么,实际上我运行 Firefox 时默认禁用了 javascript,并且只允许我信任的页面,这是 BackTrack5 R2 上的默认设置,但我想知道是否有可能知道或查看正在发生的事情
答案1
Firebug 是你的好朋友。它能让你看到所有正在进行的调用、调用所用的时间以及其他有用的信息。
答案2
值得一提的是,Javascript 在沙盒环境中运行。这意味着,在最坏的情况下,XSS 可能允许恶意网站在另一个(易受攻击的)网站的上下文中执行 Javascript,并像易受攻击的网站一样执行操作。
举例来说,如果您访问 www.youtube.com,而该网站包含来自 www.evil_side_adverts.com 的广告,并且会将您发送到 www.google.com 中的 XSS,那么 www.evil_side_adverts.com 就可以在您的机器上的 www.google.com 页面内执行 javascript,并且可以像您一样与 www.google.com 进行交互。
这意味着它可以窃取您的 cookie、代表您发出请求(但不登录)并通常做出不当行为。当浏览器或网页关闭时,XSS 结束,您的机器上不会再发生任何不良行为。
这里的关键特性是,即使您在使用的站点中受到 XSS 攻击,攻击者也无法在您的系统上运行恶意软件,也无法查看您机器上的文档或在您的桌面上安装恶意程序。
还值得一提的是,许多较新的浏览器都已采取缓解措施,以减少某些类型的 XSS 漏洞的影响。请确保您至少使用 IE9 或最新版本的 Firefox、Chrome 或 Opera,以确保您受到全面保护。