《web安全原理分析与实践》-XSS/SSRF/XXE漏洞思考题
XSS漏洞
1.什么是XSS漏洞?它有哪些危害?
XSS(Cross_Site Scripting)意为跨站脚本攻击。为了不与是叠样式表(Cascahin_Style Sheets,CSS)的编写混淆,故将跨站脚本攻击缩写为 XSS ,XSS漏洞是一种在web应用中常见的安全漏洞,它允许用户将恶意代码植入Web页面,当其他用户访同此页面时,植入的恶意代码就会在其他用户的客户端中执行。
危害:通过XSS漏洞获取客户端用户的信息(例如用户登录的Cookie信息)
通过XSS蠕虫进行信息传播
在客户端中植入木马
结合其他漏洞攻击服务器,在服务器中植入木马等
2.XSS漏洞有哪几种类型?
反射型XSS漏洞
存储型XSS漏洞
DOM型XSS漏洞
3.什么是反射型XSS漏洞?
利用反射型Xss漏洞植入的恶意代码不会存储在服务器端,一般容易出现在搜索页面,需要构造植入恶意代码的Web页面,诱骗受害者访问该页面,才能触发攻击
4.什么是存储型XSS漏洞?
利用存储型XSS的恶意代码存储在服务器中,一般植入留言板、个人信息、文章发表等功能的页面中。如果页面对用户输入的数据过滤不严格,恶意用户会将恶意代码存储到服务器中。这种类型的XSS漏洞危害非常严重,因为恶意代码会存储到服务器中,客户端每次访问服务器都会触发恶意代码
5.什么是DOM型XSS漏洞?
DOM型XSS漏洞是基于文档对象模型(Document Object Model)的一种XSS漏洞
6 简述BeEF的原理
BeEF(Browser Exploitation Framework)是浏览器攻击框架的简称,是一款专注于浏览