基于Pikachu平台的XSS跨站脚本漏洞

跨站脚本漏洞

XSS是一种发生在Web前端的漏洞,所以其危害的对象也主要是前端用户。
XSS漏洞可以用来进行钓鱼攻击,前端js挖矿,用户cookie获取。甚至可以结合浏览器自身的漏洞对用户主机进行远程控制等。

XSS攻击流程

攻击者在发现了一个这样存在XSS漏洞的站点之后会怎么利用呢
比如说现在是一个比较知名的论坛,攻击者可以根据不同XSS漏洞的类型,将恶意的JS代码,通过这个XSS漏洞插入到这个论坛的某一个页面当中,然后欺骗用户去访问或者等待用户来访问,当用户访问这个页面的时候,都会执行带有恶意脚本的JS代码,,这个恶意的JS脚本代码就会在用户的浏览器端运行,比如说这个恶意的JS代码是获取用户的cookie,他会把用户的cookie获取到之后偷偷的发送到攻击者自己搭建的一个接口,然后攻击者拿到cookie之后就可以以用户的身份登陆论坛,这样就可以对论坛信息进行篡改。

跨站脚本漏洞常见类型

危害:存储型>反射型>DOM型

反射型
交互的数据一般不会被存在数据库里面,一次性,所见即所得,一般出现在查询类页面等。

存储型
交互的数据会被存在数据库里,永久性存储,一般出现在留言板,注册等页面。

DOM型
不与后台服务器产生数据交互,是一种通过DOM操作前端代码输出的时候产生的问题,一次性也属于反射型。

XSS漏洞形成的原因

形成XSS漏洞的主要原因是程序对输入和输出的控制不够严格,导致“精心构造”的脚本输入后,在输到前端时被浏览器当

  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值