XSS的简介
1.什么是XSS
XSS叫做跨站脚本攻击,是指恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。
xss漏洞通常是通过php的输出函数将javascript代码输出到html页面中,通过用户本地浏览器执行的,所以xss漏洞关键就是寻找参数未过滤的输出函数。
2.产生层面
他一一般情况下都是在前端产生的;JavaScript代码能干什么,执行之后就会达到相应的效果。
3.危害影响
盗取各类用户帐号,如机器登录帐号、用户网银帐号、各类管理员帐号
控制企业数据,包括读取、篡改、添加、删除企业敏感数据的能力
盗窃企业重要的具有商业价值的资料
非法转账
强制发送电子邮件
网站挂马
控制受害者机器向其它网站发起攻击
4.常出现的场景
文章发表、评论、留言、注册资料的地方、修改资料的地方等
XSS跨站漏洞原理和分类
反射型
<非持久化,参数型> 攻击者事先制作好攻击链接, 需要欺骗用户自己去点击链接才能触发XSS代码(服务器中没有这样的页面和内容),一般容易出现在搜索页面。比如说搜索框的反射型XSS【在搜索框中提交交PoC[scriptalert(/xss/)/script],点击搜索,即可触发反射型XSS。】
DOM型
基于文档对象模型Document Objeet Model,DOM)的一种漏洞。DOM是一个与平台、编程语言无关的接口,它允许程序或脚本动态地访问和更新文档内容、结构和样式,处理后的结果能够成为显示页面的一部分。
它攻击的payload由于修改受害者浏览器页面的DOM树而执行,==特殊的地方就
最低0.47元/天 解锁文章
2867
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
