1.DOM.分析
2 区别: XSS存储和反射和DOM区别
存储和反射的区别
存储是在浏览器执行,注入代码存储在服务器的数据库或者本地文件,服务器存储了浏览器的参数.
反射:通过浏览器注入url代码(也可以表单),浏览器执行注入代码.,服务器处理参数(表单)
反射缺点:
只要在服务器拦截浏览器传来的非法参数问题。
DOm:和反射一样都是URL形式注入代码,注入代码服务器端不存储,不处理,浏览器进行处理.
相同:
都是通过浏览器在注入代码,
不同:
存储是保存到本地文件或者数据库
反射是注入URL+参数(可以是表单),可以理解为临时把一个地址栏的参数保存在别人的服务器上.
DOM :通过URL注入 不通过服务器进行参数处理。浏览器进行处理。
DOM和和反射都是临时型的类型
3.DOM演示
1.参数DOM型xss演示
特点:html后缀名 不通过服务器端处理。
2.参数123456
3.查看浏览器
大概里面的代码是通过DOM代码不通过服务器端进行处理 自行浏览器处理回显。
4.攻击
1.通过alert()
执行代码 没效果
原因:
参数不通过服务器端进行处理,浏览器需要本身通过 绑定事件处理。\
2.提交按钮
通过 input标检 冒充服务器 让用户输出用户信息
3.img标检
1.输出参数
2.结果
4.DOM分析
目录