常见web漏洞分析—XSS
什么是XSS?
全称:Cross Site Script
中文名称:跨站脚本
危害:盗取用户信息、钓鱼、制造蠕虫等。
概念:
黑客通过“HTML注入”篡改网页,插入恶意脚本,当用户在浏览网页时,实现控制用户浏览器行文的一种攻击方式。
XSS分类
存储型:
访问网站,触发XSS
查看源码,了解详细信息
攻击
反射型:
访问携带XSS脚本的链接触发XSS
原理解析:
获取参数后,直接输出到客户端,导致XSS
DOM型
访问携带XSS脚本的链接触发XSS
查看源码,了解详细信息
CSRF
什么是CSRF
全称:Cross Site request forgery
中文名称:跨站请求伪造
危害:执行恶意操作(“被转账”、“被发垃圾评论”等)制造蠕虫、……
概念:
利用用户已登录的身份,在用户毫不知情的情况下,以用户的名义完成非法操作。