跨站脚本是指恶意攻击者往web页面中插入恶意代码,当用户浏览该页之时,嵌入的代码就会被执行,从而达到恶意攻击用户的目的
危害:钓鱼、网站挂马、身份盗用、盗取用户信息。垃圾信息发送、劫持用户web行为、xss蠕虫
本身对服务器没有直接危害,而是通过网站传播对用户危害
通常通过留言、电子邮件向用户发送含有恶意代码的url,当受害者在浏览器中打开该url的时候,恶意脚本会执行
xss的类型
1.反射型
2.存储型
3.DOM型
反射型xss:也叫做非持久型,攻击者将恶意脚本附加到url参数中,发送给受害者,服务端未经严格过滤而输出在用户浏览器中,导致浏览器执行代码数据。
原本网站中输入框提交之后
http://3ea5a92bf90f.target.yijinglab.com/source/index01.php?name=1&submit=%E6
%8F%90%E4%BA%A4
这个时候就发现了如果name处被恶意执行了,那么就会被攻击
钓鱼常用
流程:
1.攻击者把带有恶意脚本代码参数的url地址发送给用户
2.用户点击此链接
3.服务器端获取请求参数并且直接使用,服务器反射回结果页面
存储型:也叫做持久型,存储型可以保存到数据库,在其他用户访问到这条数