1
一、了解XSS漏洞是什么
1.XSS定义
XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括Java、
VBScript、ActiveX、 Flash
或者甚至是普通的HTML。攻击成功后,攻击者可能得到包括但不限于更高的权限(如执行一些操作)、私密网页内容、会话和cookie等各种内容。
2.XSS危害
1.植入键盘记录器。(也就是可以记录键盘输入的内容)
2.攻击受害者所在的局域网。
3.代理转发流经被攻击者的所有 Web 流量,即实施中间人攻击。
4.窃取或篡改应用 cookie 用于会话劫持。
5.更改被攻击者 Web 应用的显示内容。
6.绕过 CSRF 安全防护措施。
7.创建包含恶意 JavaScript 代码的虚假网站以及到该网站页面的链接
8.发送嵌入恶意 Web URL 的电子邮件。
9.使用 URL 短码隐蔽真实 URL。
3.XSS漏洞产生原因
程序员对网页输入框没有做严格的过滤,导致楼哦对那个的出现,也是互联网上严重性很高的漏洞,原则上只要有输入框救会存在,这就要看开发人员的过滤水平的高低了。
二、XSS漏洞分类
反射性XSS,针对客户端,非永久性保存
DOM形XSS,针对客户端,非永久性保存
存储形XSS,针对客户端,永久性保存
1.反射性XSS
(1)什么是反射型XSS
反射性XSS就是在页面的输入框中,在没有被过滤的情况下,写入JS脚本标签,在前端页面中显示效果,因为是非持久性的所以,当客户端进入网页的时候,脚本就执行一次,下一次就不会继续执行了。
通常情况下利用的位置是在网站的输入框,url框等
2.DOM型XSS
(1)什么是DOM型XSS
在JS中可以改变正规HTML的框架和文本。JS对页面进行操作的时候,是需要有一个接口对HTML页面进行连接。这个中间桥梁就是DOM,在这个中间更改一些代码,可以进行一些操作。这就是DOM型XSS。
通常这个利用的位置是在网页输入框
3.存储形XSS
(1)什么是存储型XSS
存储型XSS就是应用程序直接将攻击者提交的代码存储到数据库中进行保存,这样就可以永久的显示在用户的前端页面上。(说白了也就是,将代码存到前端页面上,比如说你写上传了一个脚本图片存储在网页上,只要有人进入这个网站,那么就会在前端页面上执行,钓鱼网站同理。)
通过利用位置在网页可以将输入内容存储到数据库的地方。
留言0