XSS
xss表示Cross Site Scripting(跨站脚本攻击),它与SQL注入攻击类似,SQL注入攻击中以SQL语句作为用户输入,从而达到查询/修改/删除数据的目的,而在xss攻击中,通过插入恶意脚本,实现对用户浏览器的控制。漏洞存在于服务器端,攻击对象为WEB客户端。【原理:为了使用户体验更好等因素,有部分代码会在浏览器中执行】
【JavaScript详解】:与java语言无关;命名完全出于市场原因,是使用最广的客户端脚本语言
使用场景:针对以下几个点位注入
直接嵌入html:<script>alert('XSS')</script>
元素标签事件:<body onload=alert('XSS')>
图片标签:<img src="javascript:alert('xss');">
其他标签:<iframe>,<div>,<link>
DOM对象【文本对象模型】,篡改页面内容
可实现攻击方式:
1、盗取cookie【若浏览器正在登录状态】
2、重定向到特定站点【可做钓鱼也页面】
3、可以诱导大量客户端去访问站点 造成ddos攻击
常用的客户端脚本语言:JavaScript,VBScript,Activex&#x