A7:2017-Cross-Site Scripting (XSS) 跨站腳本

• 攻擊者利用網站漏洞把惡意的腳本代碼（通常包括HTML代碼和客戶端JavaScript腳本）注入到網頁中，當其他用戶瀏覽這些網頁時，就會執行其中的惡意代碼，對受害用戶可能採用Cookie資料竊取、會話劫持、釣魚欺騙等各種攻擊。
• 攻擊對策：檢查用戶輸入的內容中是否有非法內容。
  如<>（尖括號）、”（引號）、 ‘（單引號）、%（百分比符號）、;（分號）、()（括號）、&（& 符號）、+（加號）等。、嚴格控制輸出
  攻擊步驟：
  1. 攻擊者發現一個網站注入腳本漏洞
  2. 攻擊者使用竊取cookie的惡意java腳本在網站的數據庫中注入一個有效負載網站用攻擊者的有效載荷向受害者的瀏覽器發送頁面。
  3. 受害者的瀏覽器執行惡意腳本
  4. 腳本執行受害者將他的cookie發送給攻擊者
  5. 攻擊提取受害者的cookie，之後他將其用於會話劫持

CSRF Attacks 跨站請求偽造

• 使用者登入後，單憑瀏覽器與伺服端之間的會話溝通，使用者在無知的情況下，點選某外部網站的鏈結（甚至只是瀏覽了某個頁面）回到已登入網站，確認使用者的身分無誤而進行各種操作，使得攻擊者，只要能命令瀏覽器做出想要的請求，即使在沒有執行任何JavaScript的情況下，也能使CSRF攻擊成立
• 攻擊對策：
  1. 儘量不使用自動登入，在使用者沒有活動一段時間之後，自動登出
  2. 檢查 Referer，確認來源非跨站請求
  3. 判定是不是合法 domain 的程式碼必須要保證沒有 bug
  4. 加強使用者身分辨認機制，如圖形驗證碼、簡訊驗證碼