一,基本概念
xss原理:用户输入的数据当作前端代(js)执行(js能操作游览器)
XSS类型:
反射型:一次性的东西,传参里面要有攻击代码 ,必须要想办法让管理访问这个链接,
可是使用短链接工具进行缩短更具迷惑性;
存储型:存储到网站里面(数据库、日志或者其他东西)
不带攻击传参,访问链接,如果生效就是存储型XSS
Dom型:广义的定义:只要JS参与其中的XSS都可以认为是Dom型XSS
狭义的定义:1、JS参与其中 2、不向目标发送数据包打出XSS 3、用到document、 windows、location
二,一些利用思路
存储型xss是怎么操作的
嵌入到了web页面的恶意代码被存储到服务器上,例如你注册时候将用户昵称设置为XSS恶意代码,那么访问某些页面会显示用户名的时候就会触发恶意代码。
存储型xs