1.反射型XSS
这种类型的攻击是在你浏览一个网页的时候,且是以登录状态,因为登录状态,攻击者才能获取你的用户信息。攻击者发给了你一个链接,可能以邮件的方式,你点击了,攻击者的服务器返回你一个页面,页面中含有恶意代码,如获取你在其他网站的登录信息。
为什么叫反射型?可能是恶意代码获取信息的方式,是通过反射的方式。因为是不同的网站,不同的应用,获取的方式也只能是反射了。
2.存储型XSS
为什么叫存储型,因为恶意代码是存储状态,如攻击者在某博客网站发布了一篇博客,并把恶意代码写入了博客中,博客网站没有对博客内容进行处理,页面直接存储到数据库中,那么用户浏览到攻击者发布的博客时,就会执行恶意代码,从而获取用户信息。
3.DOM-based型XSS
这是从浏览器dom操作方面得出的定义,由于dom的可操作性,攻击者将恶意代码植入,从而达到攻击目的。如html的动态渲染,对用户提供的可插值的内容。
4.SQL注入
这个好理解,通常是相对于数据库而言,在sql中注入恶意sql片段,由于前端的很多操作都会执行到数据库的sql操作,如根据参数查询,那么在参数中加入一些恶意的sql代码,如果网站没有任何处理的话,就会执行到恶意的sql代码。
以上,是从不同的角度和特点进行的分类,共同的特点就是利用不同的方式进行恶意代码的植入,实际的攻击中,可能各种方式都会穿插。
网友评论