xss漏洞基础

xss介绍
跨站脚本攻击一-XSS (Cross Site Script),指的是攻击者往Web页面或者URL里插入恶意JavaScript脚本代码,如果Web应用程序对于用户输入的内容没有过滤,那么当正常用户浏览该网页的时候,嵌入在Web页面里的恶意JavaScript脚本代码会被执行,从而达到恶意攻击正常用户的目的。
攻击方式
XSS攻击的代码是javas代码
xss一般情况是植入到url或者web中的
xss的攻击目标是普通用户(不是服务器)
条件
(1)存在可以控制的输入点
(2)输入能返回带前端页面上,并被浏览器当成脚本语言解释执行
危害
Cookie窃取、会话劫持、键盘记录、客户端信息探查、网页挂马、XSS蠕虫
分类
1.反射型xss(Reflected)
用户输入的内容会直接传到网页的url,可输入<script>alert(document.cookie);</script>构造恶意url,是一种一次性攻击。
效果图

在这里插入图片描述
2.储存型xss(stored)
用户输入的恶意代码会存储到数据库中,当有用户访问时就会执行此代码。
效果图
在这里插入图片描述
在这里插入图片描述

3.DOM型xss
DOM型xss和反射型xss攻击过程相同,区别在于,反射型是将攻击脚本传给后台,由后台代码输出到网页上,而dom型构造的数据不经过后台,由前台js直接执行输出到页面上,不经过后台,更加隐蔽。
效果图

在这里插入图片描述

发布了42 篇原创文章 · 获赞 67 · 访问量 5216

猜你喜欢

转载自blog.csdn.net/weixin_42299610/article/details/104729396