Self-XSS

Self-XSS（英語：self cross-site scripting），又稱「Self型跨站腳本攻擊」，是一種可以獲得受害者網絡帳號的社會工程學攻擊手段。在Self-XSS攻擊中，受害者無意中在瀏覽器里運行了惡意代碼，通過一種稱為跨站腳本的漏洞將個人信息暴露給攻擊者。^[1]

概述

瀏覽器中的web開發者控制台提示謹防Self-XSS攻擊。

Self-XSS通過誘騙用戶將惡意內容複製並粘貼到瀏覽器的Web開發者控制台進行攻擊。^[1]通常，攻擊者會發布一條消息，稱通過複製和運行某些代碼，用戶將能夠入侵另一個用戶的帳戶。實際上，該代碼允許攻擊者劫持受害者的​​帳戶。^[2]

歷史與預防手段

過去也有出現類似的攻擊手段，即誘騙用戶將惡意JavaScript代碼粘貼到地址欄中。當瀏覽器廠商通過阻止從地址欄中輕鬆運行 JavaScript 來阻止這一攻擊時，^[3][4]攻擊者開始使用如今的Self-XSS。Web瀏覽器廠商已經採取措施預防這一攻擊。Firefox^[5]以及Google Chrome^[6]通過在瀏覽器控制台中警告用戶防止Self-XSS攻擊。Facebook等網站在用戶打開控制台時顯示警告消息，並附有連結解釋這一攻擊的原理。^[7][8]

詞源

名詞中的「self」指的是用戶攻擊自己的事實。「XSS」是跨站腳本的縮寫。XSS和Self-XSS攻擊都會導致在合法站點上運行惡意代碼。然而，這兩種攻擊手段沒有太多共同點，因為 XSS 是針對網站本身的攻擊（用戶無法保護自己，但可以由網站運營商修復，使他們的網站更安全），而 Self-XSS 是一種針對用戶的社會工程攻擊（精明的用戶可以保護自己免受攻擊，但網站運營商對此無能為力）。^[9]