27. 下列何種攻擊方法是利用網頁的輸入欄位或網址,插入惡意的腳本(Script),使其他使用者在瀏覽該網頁時執行該腳本?
(A) 跨站腳本攻擊(Cross-Site Scripting, XSS)
(B) 跨站請求偽造(Cross-Site Request Forgery, CSRF)
(C) 釣魚攻擊(Phishing)
(D) 阻斷服務攻擊(Denial-of-Service, DoS)

答案:登入後查看
統計: A(42), B(6), C(0), D(2), E(0) #3671663

詳解 (共 1 筆)

#7255949

這題的正確答案是:

(A) 跨站腳本攻擊(Cross-Site Scripting, XSS)

解析

XSS (Cross-Site Scripting) 的核心特徵正如題目所述:攻擊者將惡意的程式碼(通常是 JavaScript)「注入」 到網頁中。當其他使用者瀏覽該網頁時,瀏覽器會誤以為這些腳本是網站原本的一部分而加以執行。

XSS 的攻擊流程通常如下:

  1. 注入: 攻擊者發現網站的留言板、搜尋欄或網址參數沒有過濾特殊字元,於是輸入一段 <script>alert('Hacked')</script> 或竊取 Cookie 的程式碼。

  2. 存儲/反射: 伺服器將這段惡意代碼儲存(Stored XSS)或直接反射回頁面(Reflected XSS)。

  3. 執行: 當受害者瀏覽該頁面時,瀏覽器解析並執行這段惡意腳本。

  4. 後果: 攻擊者可以竊取受害者的 Session ID (Cookie)、重新導向到釣魚網站,或是竄改網頁內容。

其他選項的區別

  • (B) 跨站請求偽造 (CSRF):

    • 關鍵字是**「偽造請求」。它不是讓使用者執行腳本,而是利用使用者「已經登入的身分」**,在背景偷偷發送請求(例如:偷偷幫你轉帳)。(這是上一題的主角)

  • (C) 釣魚攻擊 (Phishing):

    • 關鍵字是**「欺騙」**。通常是製作一個假的銀行登入頁面或發送詐騙郵件,誘騙使用者自己輸入帳號密碼。

  • (D) 阻斷服務攻擊 (DoS):

    • 關鍵字是**「癱瘓」**。利用大量的流量或請求塞爆伺服器,讓正常的使用者無法連線。

 

0
0