經常上網的朋友會發現， 有時候有些鏈接點擊進去后， 防病毒軟件會報警， 提示有病毒/木馬存在。 某銀行科技處處長Y女士， 正在為這樣的一起客戶投訴頭疼不已：某網銀用戶接到收到一封網銀活動通知郵件， 點擊后居然發現被防病毒軟件報出存在木馬。

在經過Y女士一番道歉后， 客戶的怒氣似乎消退了一些， 并表示可以把那封“肇事”郵件轉發給Y女士。 這封郵件內容是銀行這段時間正在搞的一個小調查活動， 點擊“參加活動”按鈕后， 防病毒軟件馬上發出病毒報警。 經專業安全公司專家分析后得知， 這是一封偽造的活動郵件， 駭客偽造了“參加活動”按鈕后的URL鏈接， 用戶點擊后， 雖然會進入活動頁面， 但同時也會被鏈接到一個惡意站點下載木馬， 這就是防病毒軟件報警的原因。 而能造成這種現象的原因是：該銀行的網站頁面編碼存在缺陷。 考慮到銀行的業務連續性要求， Y女士按照安全專家的建議購買了安全防護產品， 并迅速部署上線， 用以屏蔽此類攻擊行為。

為什么網頁鏈接會帶有病毒呢， 這有如下幾種可能： a)網站所有者故意在頁面嵌入惡意代碼：常見于私人小站。 為了牟取私利， 有些站長故意在網站頁面中嵌入惡意代碼， 以竊取訪問者的信息。 一般來說， 企業用戶不會存在這種情況。 b)駭客攻擊網站獲取權限后， 在正常頁面中添加惡意代碼， 這也就是常提到的XSS（跨站腳本）※攻擊。

※注：XSS攻擊？ XSS是一種經常出現在web應用中的計算機安全漏洞， 它允許惡意web用戶將代碼植入到提供給其它用戶使用的頁面中。 比如這些代碼包括HTML代碼和客戶端腳本。 攻擊者利用XSS漏洞旁路掉訪問控制——例如同源策略（same origin policy）。 這種類型的漏洞由于被駭客用來編寫危害性更大的phishing攻擊而變得廣為人知。 跨站腳本漏洞主要是由于沒有對所有用戶的輸入進行有效的驗證所造成的， 它影響所有的Web應用程序框架。

在實際表現中， XSS攻擊會有兩種常見的形態， 存儲式攻擊和反射式攻擊。

存儲式XSS：最常見的類型， 駭客將攻擊腳本上傳到Web服務器上， 使得所有訪問該頁面的用戶都面臨信息泄漏的可能， 其中也包括了Web服務器的管理員。 其攻擊過程如下：

Bob擁有一個Web站點， 該站點允許用戶發布信息/瀏覽已發布的信息。 Charly注意到Bob的站點具有XXS漏洞。 Charly發布一個熱點信息， 吸引其它用戶紛紛閱讀。

Bob或者是任何的其他人如Alice瀏覽該信息， 其會話cookies或者其它信息將被Charly盜走。 反射式XSS：Web客戶端使用Server端腳本生成頁面為用戶提供數據時， 如果未經驗證的用戶數據被包含在頁面中而未經HTML實體編碼， 客戶端代碼便能夠注入到動態頁面中。 其攻擊過程如下： Alice經常瀏覽某個網站， 此網站為Bob所擁有。 Bob的站點運行Alice使用用戶名/密碼進行登錄， 并存儲敏感信息（比如銀行帳戶信息）。

Charly發現Bob的站點包含反射性的XSS漏洞。 Charly編寫一個利用漏洞的URL， 并將其冒充為來自Bob的郵件發送給Alice。 Alice在登錄到Bob的站點后， 瀏覽Charly提供的URL。 嵌入到URL中的惡意腳本在Alice的瀏覽器中執行， 就像它直接來自Bob的服務器一樣。 此腳本盜竊敏感信息（授權、信用卡、帳號信息等）然后在Alice完全不知情的情況下將這些信息發送到Charly的Web站點。 上面的例子中， Y女士所遭遇到的就是這種反射式的XSS攻擊。

如何判斷自己已經遭受XSS攻擊呢？和其他常見攻擊行為一樣， XSS攻擊在網上也有許多免費工具（sessionIE， Webscan， XSS Inject Scanner ）， 利用這些軟件的駭客很有可能并不知道該如何清理自己留下的系統日志， 從對日志的分析中可以很容易的看到是否有XSS攻擊行為發生。 還有一種更直接的方法就是檢查頁面源代碼， 看是否有不相干URL等字符串出現， 如某頁面源文件中存在與頁面功能無關的代碼， 就很有可能是發生了XSS攻擊。

由于XSS攻擊的直接受害者往往并不是網站所有者， 而是訪問受攻擊網站的普通用戶， 所以， 經常會出現普通用戶發現網站已經被駭客攻擊， 而網站的管理人員仍一無所知的情況。 對于一些依靠網站開展業務的機構來說（如金融機構等）， 做好前期檢查服務※， 是一項非常重要的工作。

※注：網站的檢查服務 一般來說， XSS攻擊的后果很難直接發現， 比如上面案例中如果駭客加入的攻擊字符串不是網頁木馬， 而是竊取cookie信息的話， 用戶在遭受攻擊時將會完全沒有表現癥狀， 這種威脅將更加的危險。 一種常用的方法是， 購買專業安全公司的網頁掛馬監測服務， 定期檢查網站頁面是否含有惡意代碼。

XSS攻擊發生后， 該如何應對呢？和大部分的Web威脅行為一樣， XSS攻擊發生原因是由于頁面文件編寫的不完備， 所以最直接和有效的方法就是代碼級的頁面文件修改。 但一般來說代碼級修改需要較長的檢查和修補時間， 同時可能會涉及到在線試運行驗證效果， 所以在實際應用中較少采用。 采用的較多的是檢測+防護+響應的手段（PDR模型※）。

※注：PDR模型：一提到檢測、防護， 很多人就會想起安全界著名的PDR模型（防護Prevention、檢測：Detection和響應：Response）， 在Web威脅防護中， 我們也采用了這一模型作為指導思想， 通過檢測發現問題， 通過防護解決問題， 通過響應避免擴散問題。 通俗一些說， 就是利用網站安全檢查服務， 找出網站是否存在以及在哪出現問題， 通過部署安全產品， 實時封堵針對漏洞的攻擊行為， 通過應急響應等安全服務， 對出現了的安全問題進行及時響應。