xss学习总结

一、什么是XSS

XSS攻击全称跨站脚本攻击(Cross Site Scripting),是为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS,XSS是一种在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。XSS攻击是新型的“缓冲区溢出攻击“,而JavaScript是新型的“ShellCode”。

二、XSS攻击的危害

1、盗取各类用户帐号,如机器登录帐号、用户网银帐号、各类管理员帐号

2、控制企业数据,包括读取、篡改、添加、删除企业敏感数据的能力

3、盗窃企业重要的具有商业价值的资料

4、非法转账

5、强制发送电子邮件

6、网站挂马

7、控制受害者机器向其它网站发起攻击

三、XSS漏洞的分类

1、DOM型

简单来说就是A给B发了一个url链接,而B打开了这个链接,url里的ShellCode就会被执行,利用JavaScript打开一个具有某种漏洞的HTML界面并安装在用户的客户端界面上。

2、存储型

A把ShellCode存储到某网站的的数据库中,当B访问这个网站时就会执行数据库中ShellCode,从而可能被A盗取用户信息。

3、反射型

A发现某网站存在反射型xss漏洞,于是当B在与这个网站交互时,A把伪造的含有ShellCode的url以服务器的名义发给B,B点开了这个url,里面的ShellCode就会被执行,JavaScript就会将用户的信息传给A伪造的站点。

  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值