11.某社交网站的用户点击了该网站上的一个广告。该广告含有一个跨站脚本,会将他的浏览器定向到旅游网文旅游网站则了他的社交网络信息。虽然该用户没有主动访问该旅游网站,但旅游网站已经截获了他的社交网信息(还有他的好友们的信息),于是犯罪分子便可以躲藏在社交网站的广告后面,截获用户的个人信息宁。这种向 Web 页面插入恶意 html 代码的攻击方式称为()

好的，让我们一起来看看这道题，并通过一些生动的例子来帮助你更好地理解。 ### 题目解析 **题干背景：** - 用户点击了一个广告。 - 广告包含一个跨站脚本（XSS），将用户的浏览器定向到了一个旅游网站。 - 虽然用户没有主动访问旅游网站，但旅游网站截获了用户的社交网络信息（包括好友信息）。 - 犯罪分子通过社交网站的广告隐藏，截获了用户的个人信息。 ### 分析选项： 1. **A: SQL 注入攻击** - SQL注入是通过输入恶意的SQL代码来操控数据库的行为。 - 例如，在登录框中输入 `" OR '1'='1"` 来绕过验证。 - 这个案例中并没有涉及到数据库的操作，因此不符合。 2. **B: 跨站脚本攻击（XSS）** - 跨站脚本攻击是指攻击者将恶意脚本注入到网页中，当其他用户浏览该网页时，恶意脚本会在用户的浏览器上执行。 - 例如，假设你在一个社交网站上发布了一条包含恶意脚本的消息，其他用户点击这条消息后，他们的浏览器就会执行这个恶意脚本，从而获取他们的个人信息。 - 这个案例中描述的情景正是跨站脚本攻击的典型表现形式。 3. **C: 分布式拒绝服务攻击（DDoS）** - DDoS 攻击是指通过大量的请求使服务器崩溃，导致正常用户无法访问。 - 例如，黑客控制大量计算机同时向目标服务器发送请求，使得服务器无法处理正常的请求。 - 这个案例中并没有提到服务器崩溃的问题，因此不符合。 4. **D: 缓冲区溢出攻击** - 缓冲区溢出攻击是指通过输入超出程序预期的数据长度，导致内存中的数据溢出，从而可能获得系统权限。 - 例如，在一个输入框中输入超长的字符串，导致程序崩溃或执行恶意代码。 - 这个案例中也没有涉及这类攻击方式。 ### 最终答案： 根据题目的描述，正确答案是 **B: 跨站脚本攻击（XSS）**。 ### 生动例子： 想象一下，你在一家餐厅用餐时，服务员给你端来一杯饮料。你喝了之后发现饮料里被加入了某种药物，让你失去意识，然后你的钱包就被偷走了。这里，饮料相当于网页，恶意脚本相当于药物，你饮用饮料就相当于访问网页并执行了恶意脚本，最终导致个人信息被盗。 希望这个例子能帮助你更好地理解跨站脚本攻击的概念！