XSS学习(一)

XSS是什么呢?
XSS的全名就是:Cross Site Script所以又叫CSS但是和CSS语言重名,所以改为了XSS,中文名字叫做跨站脚本攻击,意思就是恶意攻击者往Web页面中插入恶意HTML代码,当用户浏览的时候,Web中的HTML代码会执行.从而达到恶意攻击用户的目的。
XSS实现的原理
因为浏览器的设计有缺陷,浏览器只会负责解释执行HTML+CSS+JAVASCRIPT代码(自我感觉谷歌浏览器是不错的),并不会检查其安全性,不管我我们是恶意代码还是正常代码都是会执行。
XSS的攻击过程
我们登录一个被攻击者攻击成功的网页,那么我们对服务器进行请求的话,这时候攻击者的代码已经在我们的浏览器上运行了,那么这时候可能会发生攻击者代码的作用,比如:劫持用户的会话。可能会有模糊
给一个图来让大家清楚些。

XSS攻击的危害
  • 盗取各类用户帐号,如机器登录帐号、用户网银帐号、各类管理员帐号
  • 控制企业数据,包括读取、篡改、添加、删除企业敏感数据的能力
  • 盗窃企业重要的具有商业价值的资料
  • 非法转账
  • 强制发送电子邮件
  • 网站挂马
  • 控制受害者机器向其它网站发起攻击
自己我感觉呢,学习XSS需要懂JavaScript这门语言,当然也不需要有做开发的哪里懂。只需要一些基础就行,比如。JavaScript中的HTML的文档对象模型(DOM)这是菜鸟教程中的介绍

反射型(非持久性)
反射型自己的理解就是,我发送请求给服务器的时候,我的XSS代码出现在我的URL中,然后提交到了服务器中,服务器解析后响应.然后XSS代码随着响应内容一起传回给浏览器,最后浏览器解析执行XSS代码。
存储型(持久性)
存储型的话,自己的理解就是,假如我有一个留言板站点,然后我在留言板中提交了我的XSS代码,然后我的XSS代进入了数据库,并且每次访问我的留言板的时候,我的XSS代码会执行。说的标准点就是:  攻击方把恶意脚本代码固化在页面中,当其他用户访问到此页面的时候,浏览器会解析并且执行该脚本代码,进而对其他用户进行XSS攻击。

本人新手,大佬请多多指教

DOM型的XSS自我感觉就是一个反射型的XSS。就没有写






评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值