xss攻击

xss攻击简介

XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。
常用的XSS攻击手段和目的有:
1、盗用cookie,获取敏感信息。
2、利用植入Flash,通过crossdomain权限设置进一步获取更高权限;或者利用Java等得到类似的操作。
3、利用iframe、frame、XMLHttpRequest或上述Flash等方式,以(被攻击)用户的身份执行一些管理动作,或执行一些一般的如发微博、加好友、发私信等操作。
4、利用可被攻击的域受到其他域信任的特点,以受信任来源的身份请求一些平时不允许的操作,如进行不当的投票活动。
5、在访问量极大的一些页面上的XSS可以攻击一些小型网站,实现DDoS攻击的效果。

xss的攻击类型

(1)存储型
(2)反射型
(3)DOM型
1.存储型xss的攻击原理
攻击者在页面上插入xss代码,服务器将数据存入数据库,当用户访问到存在xss漏洞的页面时,服务端从数据库中取出数据展示到页面,导致xss代码执行,达到攻击效果。
2.反射型
攻击者在URL中插入XSS代码,服务端将URL中的XSS代码输出到页面上,攻击者将带有XSS代码的URL发送给用户拥护打开后受到XSS攻击.
3.DOM型

攻击者在URL中插入XSS代码,前端页面直接从URL获取XSS代码并且输出到页面上,导致XSS代码的执行攻击者将带有XSS代码的URL发送给用户,用户打开后受到XSS攻击.

xss练习
在这里插入图片描述

<script>alert(1)</script>
<script>alert(2)</script>

在这里插入图片描述

在这里插入图片描述

"><script>alert(1)</script>
  • 2
    点赞
  • 0
    评论
  • 1
    收藏
  • 一键三连
    一键三连
  • 扫一扫,分享海报

©️2021 CSDN 皮肤主题: 大白 设计师:CSDN官方博客 返回首页
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、C币套餐、付费专栏及课程。

余额充值