1.XSS 跨站脚本攻击
通过存在安全漏洞的Web网站注册用户的浏览器内运行 非法的HTML标签或JavaScript进行的一种攻击
原理: 恶意攻击者往 Web 页面里插入恶意可执行网页脚本代码,当 用户浏览该页之时,嵌入其中 Web 里面的脚本代码会被执行,从而可以 达到攻击者盗取用户信息或其他侵犯用户安全隐私的目的。
非持久型XSS(反射型XSS) & 持久型XSS(存储型XSS)
非持久型XSS:攻击相对于受害者而言是一次性的,恶意代码并没有保存在目标网站,而Web应用程序只是不加处理的把该恶意脚本“反射”回受害者的浏览器而使受害者的浏览器执行相应的脚本。
持久型XSS:将错误代码存入了数据库,下一次从数据库中获取该数据时程序也未对其进行过滤,页面再次执行XSS代码持续攻击用户。
基于字符集的XSS & 未经验证的跳转XSS
基于字符集的XSS:绕过浏览器转义规则的攻击方式,输入非期望的字符导致浏览器解析错误从而发起攻击
未经验证的跳转XSS:攻击者输入恶意的URL跳转地址让服务器执行脚本,这是利用了服务器端对用户输入的URL参数进行302跳转的特点