码迷,mamicode.com
首页 > 其他好文 > 详细

xss

时间:2021-02-26 13:25:01      阅读:0      评论:0      收藏:0      [点我收藏+]

标签:过程   就是   针对   对象模型   技术   服务器存储   xss漏洞   在服务器   xss   

xss跨站脚本攻击

针对网站应用程序的安全漏洞技术,是代码注入的一种。它允许用户将恶意代码注入网页,其他用户在浏览网页时会受到影响。恶意用户利用xss代码攻击成功后,可能得到很高的权限、私密网页内容、会话和cookie等各种内容。

xss分类:

反射型

非持久型xss,一次性的

攻击方式:攻击者通过电子邮件等方式将包含xss代码的恶意链接发送给目标用户。当目标用户访问该链接时,服务器接受该用户的请求并进行处理,然后服务器把带有xss代码的数据发送给目标用户的浏览器,浏览器解析这段带有xss代码的恶意脚本后会触发xss漏洞。

存储型

持久型xss,脚本将被永久的放在目标服务器的数据库或文件种,具有很高的隐蔽性

攻击方式:

这种攻击多见于论坛、博客和留言板中,攻击者在发帖的过程中,将恶意脚本连同正常的信息一起注入帖子的内容中,随着帖子被服务器存储下来,恶意脚本也永久的存放在服务器后端存储器中,当其他用户浏览这个被注入了恶意脚本的帖子时,恶意脚本会在他们的浏览器中得到执行。

DOM型

特殊的反射型xss,它是基于DOm文档对象模型的一种漏洞

攻击方式:用户请求一个经过专门设计的URL,他又攻击者提交,而且其中包含xss代码。服务器的响应不会以任何形式包含攻击者的脚本,当用户的浏览器处理这个响应时,DOM对象就是处理xss代码,导致存在xss漏洞

 

xss

标签:过程   就是   针对   对象模型   技术   服务器存储   xss漏洞   在服务器   xss   

原文地址:https://www.cnblogs.com/lyh1/p/14450127.html

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!