|
(照片源于网络,侵删)
PS:手把手入门白帽子系列,全学完便是一个合格的web安全工程师了!
1
什么是XSS?
关于XSS(跨站脚本攻击)详情,能够查看:科普一种猥琐的黑客攻击方式,附攻防指南。下面咱们简单介绍一下:
概念:指黑客经过“HTML注入”篡改网页,插进了恶意的脚本,从而在用户浏览网页时,实现掌控用户浏览器行径的一种攻击方式。
害处:盗取用户信息、篡改页面钓鱼、制造蠕虫等。
XSS归类:存储型、反射型、DOM型等
2
反射型XSS
反射型XSS只是简单地把用户输入的数据“反射”给浏览器。亦便是说,黑客常常必须诱运用户“点击”一个恶意链接,才可攻击成功.
如下,查找name信息,正常用户请求:
倘若那name参数1修改成<script>alert("I am XSS")</script>,则表示结果:
3
存储型XSS
如下,正常留言或评论,表示如下:
倘若将message信息写成<script>alert(11)</script>,则表示
4
DOM XSS
基于DOM型的XSS是不必须与服务器端交互的,它只发生在客户端处理数据周期。
下面一段经典的DOM型XSS示例。
以上代码的意思是获取URL中content参数的值,并且输出,倘若输入
http://www.xxx.com/dom.html?content=<script>alert(/xss/)</script>,就会产生XSS漏洞。
各样类型原理分析
下篇预告:CSRF攻击与防御
举荐阅读
6个月当上web安全工程师 | 手把手入门白帽子(一)
黑客常说SQL注入是什么?手把手入门白帽子 (二)
SQL注入攻击方式及防御办法,手把手入门白帽子 (二)
| 
发表于 2024-7-12 14:51:16
