一、什么是XSS
对于XSS的介绍引用百度百科加上自己的一些解释,描述的比较准确了。
XSS跨站脚本,全称是Cross-SiteScripting,简称其实应该是CSS,但是为了不与CSS(样式表)混淆,最后就称为XSS了。攻击者主要利用网站的XSS漏洞,在正常的网页中注入恶意的HTML/JavaScript代码。当用户浏览网页时,嵌入其中的代码就会执行,攻击者也就可以轻易地实现其他邪恶的目的。
最初XSS其实没有被过多重视(现在貌似也没有-_-),但随着社交网络的蓬勃发展,这一攻击方式就变得非常恐怖了。设想一下,某社交网站有一篇非常火的分享文章,文章内容十分有趣但是被攻击者加入了XSS。A用户浏览到这篇文章感觉不错,马上分享;A用户的好友通过A用户也看到了,继续分享...如此下去,攻击范围实在是恐怖。就像射雕英雄传里面欧阳锋的蛇毒,把一片海域的鲨鱼都给毒死了。
二、XSS分类
XSS主要分为两大类:反射性跨站脚本和持久性跨站脚本
反射性跨站脚本,通常出现在网站的搜索栏、投票提交、用户登录等地方。
持久性跨站脚本,也称为储存形跨站脚本。通常出现在邮件、日志、评论等地方。
三、XSS Cheat Sheet
测试XSS的时候会使用到大量的测试语句,最常用的也是最容易被服务器过滤的就是
<script>alert(XSS);</script>
这时我们除了可以使用转码等手段对语句进行改造,还可以尝试其他的测试语句。
由很多测试语句组成的表就是XSS Cheat Sheet。这种东西网上很多,自己百度Google吧。
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
