xss跨站脚本攻击
理论
1.定义:
xss跨站脚本攻击是一种web应用程序的安全漏洞,主要是由于web应用程序对用户的输入过滤不足而产生的,攻击者在web页面中插入恶意脚本代码,在用户浏览网页的时候,嵌入其中的恶意代码就会被执行,攻击者就会对受害用户进行cookie资料窃取、会话劫持、钓鱼欺骗等行为。
2.分类:
反射型xss(reflected xss)
存储型xss(stored xss)
dom型xss(dom-based xss)
mxss (突变型xss)
uxss(通用型xss)
flash xss
utf-7 xss
mhtml xss
css xss
vbscript xss
1.反射性XSS详解
1.反射型xss概述
定义:
反射型XSS也称非持久型、参数型XSS,最常见且使用最广。
主要用于将恶意脚本附加到url地址的参数中
此类型的xss常见与网站搜索栏、用户登入口等位置
常用来窃取客户端cookie或进行钓鱼欺骗
特点:
单击链接时触发,只执行一次。
利用方法
使用特定的手法如站内私信、邮件,诱使用户访问包含恶意代码的url,当用户单击链接时,恶意代码就在受害者主机上的浏览器执行。