xxs概念
黑客通过“html注入”篡改网页,插入了恶意的脚本,当用户浏览网页时,实现控制用户浏览器行为的一种攻击方式
两个关键点:html包含恶意脚本, 黑客获取到用户cookie
常规工具:在查看前端攻击时,可以使用firebug进行查看hash数据
比如下图:当加载一个img失败时,执行onerror事件从而执行xss脚本
xss分类
**存储型:**需要经历两个步骤
1) 用户将xss脚本上传到服务器(一般写入数据库中)
2)用户访问带有xss脚本的恶意网站
反射型:
一般通过get请求传入xss攻击自动,reflect也有很多种变种。
dvwa相关练习: https://www.cnblogs.com/yyxianren/p/11381559.html添加链接描述
DOM型:
目前没有找到相关的练习,估计得自己实现一个html界面来包含dom漏洞才行;