XSS是什么呢?
XSS的全名就是:Cross Site Script所以又叫CSS但是和CSS语言重名,所以改为了XSS,中文名字叫做跨站脚本攻击,意思就是恶意攻击者往Web页面中插入恶意HTML代码,当用户浏览的时候,Web中的HTML代码会执行.从而达到恶意攻击用户的目的。
XSS实现的原理
因为浏览器的设计有缺陷,浏览器只会负责解释执行HTML+CSS+JAVASCRIPT代码(自我感觉谷歌浏览器是不错的),并不会检查其安全性,不管我我们是恶意代码还是正常代码都是会执行。
XSS的攻击过程
我们登录一个被攻击者攻击成功的网页,那么我们对服务器进行请求的话,这时候攻击者的代码已经在我们的浏览器上运行了,那么这时候可能会发生攻击者代码的作用,比如:劫持用户的会话。可能会有模糊
给一个图来让大家清楚些。
XSS攻击的危害
-
盗取各类用户帐号,如机器登录帐号、用户网银帐号、各类管理员帐号
-
控制企业数据,包括读取、篡改、添加、删除企业敏感数据的能力
-
盗窃企业重要的具有商业价值的资料
-
非法转账
-
强制发送电子邮件
-
网站挂马
-
控制受害者机器向其它网站发起攻击
自己我感觉呢,学习XSS需要懂JavaScript这门语言,当然也不需要有做开发的哪里懂。只需要一些基础就行,比如。JavaScript中的HTML的文档对象模型(DOM)这是菜鸟教程中的介绍
反射型(非持久性)
反射型自己的理解就是,我发送请求给服务器的时候,我的XSS代码出现在我的URL中,然后提交到了服务器中,服务器解析后响应.然后XSS代码随着响应内容一起传回给浏览器,最后浏览器解析执行XSS代码。
存储型(持久性)
存储型的话,自己的理解就是,假如我有一个留言板站点,然后我在留言板中提交了我的XSS代码,然后我的XSS代进入了数据库,并且每次访问我的留言板的时候,我的XSS代码会执行。说的标准点就是: 攻击方把恶意脚本代码固化在页面中,当其他用户访问到此页面的时候,浏览器会解析并且执行该脚本代码,进而对其他用户进行XSS攻击。
本人新手,大佬请多多指教
DOM型的XSS自我感觉就是一个反射型的XSS。就没有写