xss介绍
跨站脚本攻击一-XSS (Cross Site Script),指的是攻击者往Web页面或者URL里插入恶意JavaScript脚本代码,如果Web应用程序对于用户输入的内容没有过滤,那么当正常用户浏览该网页的时候,嵌入在Web页面里的恶意JavaScript脚本代码会被执行,从而达到恶意攻击正常用户的目的。
攻击方式
XSS攻击的代码是javas代码
xss一般情况是植入到url或者web中的
xss的攻击目标是普通用户(不是服务器)
条件
(1)存在可以控制的输入点
(2)输入能返回带前端页面上,并被浏览器当成脚本语言解释执行
危害
Cookie窃取、会话劫持、键盘记录、客户端信息探查、网页挂马、XSS蠕虫
分类
1.反射型xss(Reflected)
用户输入的内容会直接传到网页的url,可输入alert(“aaa”)构造恶意url,是一种一次性攻击
利用:
2.储存型xss(stored)
用户输入的恶意代码会存储到数据库中,当有用户访问时就会执行此代码
利用:
3.DOM型xss
DOM型xss和反射型xss攻击过程相同,区别在于,反射型是将攻击脚本传给后台,由后台代码输出到网页上,而dom型构造的数据不经过后台,由前台js直接执行输出到页面上,不经过后台,更加隐蔽
