Xss攻击的定义:
恶意攻击者往web页面里插入恶意script代码,当用户浏览该页之时,嵌入其中的web里面的script代码会被执行,从而达到恶意攻击用户的特殊目的。
Xss攻击的危害:
这些危害包括但不局限于:
盗取管理员或者普通用户cookie,session;读取.篡改.添加.删除敏感数据;
网站挂马;
非法转账;
控制受害机器向其他网站发起攻击
………
XSS攻击常见分类:
Xss跨站脚本攻击过程:
xss常见编码:url编码 js编码 css编码 字符编码 复合编码
URL编码:一个百分号和该字符的ASCII编码所对应的2位十六进制数字,样式为“%2F”
字符编码:把十进制.十六进制ASCII码或unicode字符编码,样式为“&#数值”
复合编码:所谓复合编码,就是说输出的内容输出在多个环境中
css编码:用一个反斜线(\)后面跟1~6位的十六进制数字。样式为“\65”
js编码:如“e”编码为“\45”
常见测试语句:
<script>alert('test');</script>
<svg οnlοad=alert('test')>
<img src="javascript:alert('test')">
<IMG SRC =#οnerrοr=alert('test')>
<BODY ONLOAD=alert('test')>
<DIV STYLE="width:expression(alert('test'));">
<BASE HREF="javascript.:alert('test');//">
........