xss跨站脚本攻击
针对网站应用程序的安全漏洞技术,是代码注入的一种。它允许用户将恶意代码注入网页,其他用户在浏览网页时会受到影响。恶意用户利用xss代码攻击成功后,可能得到很高的权限、私密网页内容、会话和cookie等各种内容。
xss分类:
反射型
非持久型xss,一次性的
攻击方式:攻击者通过电子邮件等方式将包含xss代码的恶意链接发送给目标用户。当目标用户访问该链接时,服务器接受该用户的请求并进行处理,然后服务器把带有xss代码的数据发送给目标用户的浏览器,浏览器解析这段带有xss代码的恶意脚本后会触发xss漏洞。
存储型
持久型xss,脚本将被永久的放在目标服务器的数据库或文件种,具有很高的隐蔽性
攻击方式:
这种攻击多见于论坛、博客和留言板中,攻击者在发帖的过程中,将恶意脚本连同正常的信息一起注入帖子的内容中,随着帖子被服务器存储下来,恶意脚本也永久的存放在服务器后端存储器中,当其他用户浏览这个被注入了恶意脚本的帖子时,恶意脚本会在他们的浏览器中得到执行。
DOM型
特殊的反射型xss,它是基于DOm文档对象模型的一种漏洞
攻击方式:用户请求一个经过专门设计的URL,他又攻击者提交,而且其中包含xss代码。服务器的响应不会以任何形式包含攻击者的脚本,当用户的浏览器处理这个响应时,DOM对象就是处理xss代码,导致存在xss漏洞
https://xss.pt/