XSS 扫盲
XSS Cross Site Scripting 跨站脚本攻击
跨站脚本攻击(Cross Site Scripting),为了不和层叠样式表(Cascading Style Sheets,CSS)缩写混淆,
所以将跨站脚本攻击缩写为XSS。
恶意攻击者往Web页面里插入恶意javaScript代码,
当用户浏览该页之时,
嵌入其中Web里面的javaScript代码会被执行,
从而达到恶意攻击用户的目的。
简而言之就是在网页里面
埋入恶源代码
劫持用户的信息
投递到预设的网站上去的一种黑客攻击手段。XSS 分类
-
反射型XSS(也常被称为非持久型XSS)
只是简单的把用户输入的数据“反射”给浏览器, 也就是说需要诱使用户“点击”一个恶意链接,才能攻击成功。 ------------------------- [漏洞产生]的原因是攻击者注入的数据反映在响应中。 ------------------------- 1. 要求用户访问一个被攻击者篡改后的链接, 2. 用户访问该链接时,被植入的攻击脚本被用户游览器执行,从而达到攻击目的。 -
储存型XSS(也常被称为持久型XSS)
会把用户输入的数据“储存”在服务器端。具有很强的稳定性 危害更大,容易造成蠕虫,因为每当用户打开页面,查看内容时脚本将自动执行。 ------------------------ 持久型XSS最大的危害在于可能在一个系统中的[用户间互相感染], 以致整个系统的用户沦陷。 能够造成这种危害的脚本我们称之为XSS蠕虫。 ------------------------ 蠕虫( 是无须计算机使用者干预即可运行的独立程序, 它通过不停的获得网络中存在漏洞的计算机上的部分或全部控制权来进行传播。 ) -
DOM Based XSS
从效果上来说也是反射型XSS单独划分出来的, 因为DOM Based XSS 的形成原因比较特别。 这是由于客户端[脚本自身解析不正确]导致的安全问题。 ------------------------- 注入的脚本是通过改变 DOM 来实施的。 采用该种方式有一个好处就是从源代码中不易被发现而已。 ------------------------- 如果DOM中的数据没有经过严格的确认, 就会产生DOM-based XSS漏洞。
