xss介紹
跨站腳本攻擊一-XSS (Cross Site Script),指的是攻擊者往Web頁面或者URL裏插入惡意JavaScript腳本代碼,如果Web應用程序對於用戶輸入的內容沒有過濾,那麼當正常用戶瀏覽該網頁的時候,嵌入在Web頁面裏的惡意JavaScript腳本代碼會被執行,從而達到惡意攻擊正常用戶的目的。
攻擊方式
XSS攻擊的代碼是javas代碼
xss一般情況是植入到url或者web中的
xss的攻擊目標是普通用戶(不是服務器)
條件
(1)存在可以控制的輸入點
(2)輸入能返回帶前端頁面上,並被瀏覽器當成腳本語言解釋執行
危害
Cookie竊取、會話劫持、鍵盤記錄、客戶端信息探查、網頁掛馬、XSS蠕蟲
分類
1.反射型xss(Reflected)
用戶輸入的內容會直接傳到網頁的url,可輸入alert(“aaa”)構造惡意url,是一種一次性攻擊
利用:
2.儲存型xss(stored)
用戶輸入的惡意代碼會存儲到數據庫中,當有用戶訪問時就會執行此代碼
利用:
3.DOM型xss
DOM型xss和反射型xss攻擊過程相同,區別在於,反射型是將攻擊腳本傳給後臺,由後臺代碼輸出到網頁上,而dom型構造的數據不經過後臺,由前臺js直接執行輸出到頁面上,不經過後臺,更加隱蔽
xss漏洞之——初識xss
發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.