ss首先xss属于OWASP(开放式web应用程序安全项目) top10(十项最严重的web应用程序安全风险列表)的一种
CSS (Cross Site Script(跨站脚本攻击))(因为怕与另一个css混淆,所以命名为xss),指的是攻击者在web页面里插入恶意html代码。
例子:
比如用写一个php文件:
用浏览器打开(注意这里要下载一个phpstudy)
然后以get方式传参
得到
但如果我传入的name不是1,而是一行代码
这里·的<script>alert(document.cookie)</script>
这里面的alert()是提示,换句话说就是弹出的提示文本。
document.cookie就是这个网站的cookie。
那么浏览器会执行我们的这一行代码,形成xss漏洞。
还有比如document.domain //弹出网站域名
xss的攻击流程(仅列举存储型xss):→打开web页面→输入一串恶意代码会存到数据库→读取页面→读取数据库→执行恶意代码。
举个例子::
在dvwa这个靶场中,有个留言版的模块
我们输入姓名和message,比如我们用xss平台
将下面这行代码复制到message中,点击提交
你的接受内容,包括操作系统,cookie,代码源文件,服务器内容,等等都会泄露,还有屏幕截图
网上有xssgame这个小游戏,可以帮助了解更多关于xss的内容。