XSS 是什么

Posted h-hy

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了XSS 是什么相关的知识,希望对你有一定的参考价值。

全称:Cross Site Script(跨站脚本)

为了与层叠样式表css区分,将跨站脚本简写为XSS

危害:盗取用户信息、钓鱼、制造蠕虫等

概念:黑客通过 html注入 篡改了网页,插入了恶意脚本,从而在用户浏览网页时,实现控制浏览器行为的一种攻击方式;

黑客可以利用 XSS 盗取用户的cookie,有了用户的 cookie ,可以以用户的身份来正常访问站点;

XSS 属于客户端代码注入,通常注入代码时 javascript。区别于命令出入,SQL 注入属于服务端代码注入;XSS根据效果不同,可以分为存储型XSS、放射型XSS、DOM型XSS;

存储型

 攻击代码在服务武器端(数据库),输出在 http 响应中

比较常见的场景时,黑客写一篇包含有恶意 JavaScript 代码的博客文章,文章发表后,所有访问该博客的用户,都会在他们的浏览器中执行这段恶意 js 代码;

反射型

  攻击代码在 URL 里,输出在 http 响应中。黑客往往需要诱使用户 点击 一个恶意链接,才能攻击成功;

1、用户登录

2、攻击者将他自己准备的 URL 提交给用户

3、用户请求攻击者的 URL 

4、服务器对象攻击者的 JS 做出回应 给用户

5、攻击者的 JS 在用户的浏览器中执行

6、用户的浏览器向攻击者发送会话令牌

7、攻击者劫持用户会话

DOM型

从效果上来说,也属于反射型XSS

攻击代码在 URL 里,输出在 DOM 节点中

 

 

自己手动打一遍是为了更好的学习;学习于 https://blog.csdn.net/extremebingo/article/details/81176394

 

以上是关于XSS 是什么的主要内容,如果未能解决你的问题,请参考以下文章

xss 是什么

xss是啥意思?

xss常识

XSS攻击常识及常见的XSS攻击脚本汇总

WEB面试问题:什么是 XSS 攻击?

xss和csrf分别是啥