| 关键词: 用户 XSS 反射 如果 DOM 信息 黑客 恶意 浏览器 攻击 |
概念:通常指黑客通过“HTML注入”篡改了网页,插入了恶意的脚本,从而在用户浏览网页时,实现控制用户浏览器行为的一种攻击方式。 全称:Cross Site Script(本来缩写是CSS,但是为了和层叠样式表CSS有所区别,所以在安全领域叫做“XSS”) 危害:盗取用户信息、篡改页面钓鱼、制造蠕虫等。 XSS分类:存储型、反射型、DOM型 反射型XSS 反射型XSS只是简单地把用户输入的数据“反射”给浏览器。也就是说,黑客往往需要诱使用户“点击”一个恶意链接,才能攻击成功 如下,查询name信息,正常用户请求: ![]() 如果那name参数1修改成,则显示结果: ![]() 存储型XSS 如下,正常留言或者评论,显示如下: ![]() 如果将message信息写成,则显示 ![]() DOM XSS 基于DOM型的XSS是不需要与服务器端交互的,它只发生在客户端处理数据阶段。 下面一段经典的DOM型XSS示例。 上述代码的意思是获取URL中content参数的值,并且输出,如果输入http://www.xxx.com/dom.html?content=,就会产生XSS漏洞。 ![]() |
| 本文出处: https://www.toutiao.com/a6708512758335291916/ |
|
声明:文章版权归原作者所有 部分文章转自互联网 如有侵权请联系
[邮箱地址] 删除
|