一、XSS攻击
Cross Site Scripting跨站脚本攻击
利用js和DOM攻击。
盗用cookie,获取敏感信息
破坏正常页面结构,插入恶意内容(广告..)
劫持前端逻辑
DDos攻击效果——分布式拒绝服务攻击
Server Limit Dos,Http header过长,server返回400
二、攻击原理和手段
攻击方式
反射性
存储性
1、反射型攻击
发出请求时,XSS代码出现在URL中,作为输入提交到服务器端,服务器解析后响应,XSS代码随响应内容一起传回给浏览器,最后浏览器解析执行XSS代码。这个过程像一次反射,故叫反射型XSS。
明文URL中value就是攻击代码
服务器解析URL中XSS代码并传回
浏览器解析执行
传播-》URL传播-》短网址传播
2、存储型攻击
存储型XSS和反射型XSS的差别仅在于,提交的代码会存储在服务器端(数据库,内存,文件系统等),下次请求目标页面时不用再提交XSS代码。
更隐蔽。
XSS存在的位置
反射型——URL中
存储型——服务器端
XSS攻击注入点:
HTML节点内,通过用户输入动态生成
HTML属性,属性是由用户输入