#0x00:XSS
XSS(Cross Site Scripting),又称跨站脚本,XSS的重点不在于跨站点,而是在于脚本的执行,其可向前端页面注入恶意代码。
#0x01:反射型XSS 反射型XSS恶意代码并没有保存在目标网站,通过引诱用户点击一个链接到目标网站的恶意链接来实施攻击的。
PS:当我们精心构造了一个payload例如"http://localhost/pikachu/vul/xss/xss_reflected_get.php?message=<script>alert(‘xss’)<%2Fscript>&submit=submit"其可引诱目标打开
#0x02:存储型XSS
存储型XSS恶意代码被保存到目标网站的服务器中,这种攻击具有较强的稳定性和持久性,常用于博客,论坛等社交平台上
#0x03:客户端的脚本程序可以动态地检查和修改页面内容,而不依赖于服务器端的数据。例如客户端如从 URL 中提取数据并在本地执行,如果用户在客户端输入的数据包含了恶意的 JavaScript 脚本,而这些脚本没有经过适当的过滤和消毒,那么应用程序就可能受到 DOM-based XSS 攻击。DOM XSS和反射型XSS、存储型XSS的区别在于DOM XSS代码并不需要服务器参与,触发XSS靠的是浏览器的DOM解析,是在客户端上完成的事情。