xss跨站脚本攻击原理

XSS(跨站脚本攻击)是网络安全中的一个重要问题,它利用前端输入参数执行恶意脚本。主要分为反射型、存储型和DOM型。反射型XSS通过伪造URL欺骗用户,存储型XSS则将攻击代码存储在数据库中,长期存在。XSS攻击可能导致用户cookie被盗、网站挂马、权限提升等严重后果。防止XSS攻击,关键在于对用户输入进行有效过滤和验证。
摘要由CSDN通过智能技术生成

xss全称跨站脚本攻击,通过字面理解就是跨过网站进行攻击。其原理是前端提交的参数被当成网站js代码来被执行了。发生的场景通常在web的前端。比如我在网站的留言板处输入一个,提交之后发现我的留言并不会显示内容,而且有我留言的页面都会出现js的弹框1
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
当然,这里只是演示,我们在平时的测试中不要使用这种方式,因为会影响网站的正常运行,使用就可以

这里
xss通常分为三种:
反射型:反射型xss不会存储到数据库中,通常出现于搜索框中,只能构建虚假的url欺骗受害者点击,比如www.baidu.com/?search=<script></script>,危害性不大属于低危漏洞
存储型(持久型):存储型xss会将攻击语句存储带数据库中,如果不移除会一直存在,常见于留言板,注册等地方危害性高
dom型xss:攻击语句参数被document接收到对html标签的进行增删改查,类似于反射型xss,也属于一次性攻击
探测xss需要奉行见框就插的原则,只要有输入框,聊天窗口等可以输入数据的地方,都有可能存在xss
xss能做什么:可以获取用户cookie无需密码就能登录账号、网站挂木马、重定向网站、蠕虫攻击、获取用户信息、权限足够高还能获取键盘记录甚至开启电脑摄像头等

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值