フルネーム:クロスサイトスクリプト(XSS)
区別し、カスケードスタイルシートのCSSするためには、XSSのクロスサイトスクリプティングと略記されます
ハザード:ユーザ情報、フィッシング、ワームやその他の製造を盗みます
コンセプト:Webページの改ざんハッカーによるHTMLインジェクション、ユーザーがWebを閲覧する際、ブラウザの動作を制御するために、攻撃を実現するように、悪意のあるスクリプトを挿入します。
XSSのハッカーがユーザーのCookieで、ユーザーなど、サイトへの通常のアクセスすることができ、ユーザーのクッキーを盗むために使用することができます。
通常の注射用の注射、JavaScriptコードに属するXSSクライアントコード。サービスコードインジェクションに属するアクセスコマンド、SQLインジェクションの端末とは異なる、XSS異なる効果は蓄積型XSS、放射型XSS、DOM XSSのタイプに分けることができます。
ストレージタイプ
サービス武器エンド(データベース)、HTTP応答での出力で攻撃コード
より一般的なシナリオは、ハッカーが記事が掲載された後、悪質なJavaScriptコードは、ブログの記事が含まれて書いたとき、すべてのユーザーが自分のブラウザでこの悪質なjsのコードを実行します、ブログにアクセスします。
反射
URLでの攻撃コード、応答のHTTP出力。ハッカーは、多くの場合、成功した攻撃する悪質なリンクをクリックするようにユーザーを説得する必要があります。
1、ユーザがログインします
2、攻撃者はユーザーのURLに身を提出できるようになります
3、攻撃者のユーザ要求URL
4、JSの攻撃者のサーバ・オブジェクトは、ユーザーに対応するため
5は、JSの攻撃者は、ユーザーのブラウザで実行します
図6は、ユーザのブラウザは、攻撃者に、セッショントークンを送信します
7、攻撃者はユーザーセッションをハイジャック
DOMタイプ
実際には、それはまた、反射性であるXSS
URLでの攻撃コード、DOMでの出力ノード
手動でより良い学習のためにもう一度再生するには、https://blog.csdn.net/extremebingo/article/details/81176394に学びます