码迷,mamicode.com
首页 > 其他好文 > 详细

XSS 是什么

时间:2019-08-09 21:12:10      阅读:151      评论:0      收藏:0      [点我收藏+]

标签:效果   tps   htm   使用   自己   对象   式表   数据   区分   

全称:Cross Site Script(跨站脚本)

为了与层叠样式表css区分,将跨站脚本简写为XSS

危害:盗取用户信息、钓鱼、制造蠕虫等

概念:黑客通过 HTML注入 篡改了网页,插入了恶意脚本,从而在用户浏览网页时,实现控制浏览器行为的一种攻击方式;

黑客可以利用 XSS 盗取用户的cookie,有了用户的 cookie ,可以以用户的身份来正常访问站点;

XSS 属于客户端代码注入,通常注入代码时 JavaScript。区别于命令出入,SQL 注入属于服务端代码注入;XSS根据效果不同,可以分为存储型XSS、放射型XSS、DOM型XSS;

存储型

 攻击代码在服务武器端(数据库),输出在 http 响应中

比较常见的场景时,黑客写一篇包含有恶意 JavaScript 代码的博客文章,文章发表后,所有访问该博客的用户,都会在他们的浏览器中执行这段恶意 js 代码;

反射型

  攻击代码在 URL 里,输出在 http 响应中。黑客往往需要诱使用户 点击 一个恶意链接,才能攻击成功;

1、用户登录

2、攻击者将他自己准备的 URL 提交给用户

3、用户请求攻击者的 URL 

4、服务器对象攻击者的 JS 做出回应 给用户

5、攻击者的 JS 在用户的浏览器中执行

6、用户的浏览器向攻击者发送会话令牌

7、攻击者劫持用户会话

DOM型

从效果上来说,也属于反射型XSS

攻击代码在 URL 里,输出在 DOM 节点中

 

 

自己手动打一遍是为了更好的学习;学习于 https://blog.csdn.net/extremebingo/article/details/81176394

 

XSS 是什么

标签:效果   tps   htm   使用   自己   对象   式表   数据   区分   

原文地址:https://www.cnblogs.com/H-hy/p/11329462.html

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!