在Web安全威胁中仅次于SQL注入,位于第二
XSS漏洞的分类
- 反射型
输出在XTML属性中 - 存储型
输出在CSS代码中 - DOM型
输出在Javascript中
反射型XSS
在搜索框直接输入script会执行
例如:
<sript>alert(1+1)</sript>
输出:弹窗2
则存在反射型XSS
存储型XSS
在留言板,聊天室等可能出现存储型XSS漏洞,当用户打开该站后都会触发一次XSS
DOM型XSS
DOM型XSS不需要服务端
利用方法
使用XSS网站进行钓鱼或使用kali自带的XSS-beef进行钓鱼