一、XSS介绍
XSS(Cross Site Scripting)中文名为“跨站脚本攻击”,它与层叠样式表CSS(Cascading StyleSheets)的缩写混淆。因此,将跨站脚本攻击缩写为XSS。
二、漏洞危害
XSS攻击,通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括Java、VBScript、ActiveX、Flash或者甚至是普通的HTML。攻击成功后,攻击者可能得到包括但不限于更高的权限(如执行一些操作)、私密网页内容、会话和cookie等各种内容。
三、XSS分类
- 反射型(又称非持续性)
- 存储型(又称持续性)
- DOM型
3.1 反射型
反射型XSS,又称非持续性XSS,这种攻击不是持续的,简单点来说,它是一次性的,它的原理是在发生GET请求的时候,会把payload存放在URL中,用户点击带有恶意参数的URL请求到到指定服务器,且WEB应用并没有对恶意代码进行适当的过滤,用户接受返回数据,浏览器解析触发代码,造成漏洞执行,此类型漏洞一般存在于搜索框里。
网友评论