XSS 跨站腳本攻擊介紹
跨站腳本攻擊英文全稱為(Cross site Script)縮寫為 CSS,但是為了和層疊樣式表(Cascading Style Sheet)CSS 區(qū)分開來芽隆,所以在安全領(lǐng)域跨站腳本攻擊叫做 XSS
XSS 攻擊原理
XSS 攻擊通常指黑客通過往 Web 頁面中揑入惡意 Script 代碼,當(dāng)用戶訪問網(wǎng)頁時惡意代碼在用戶的
瀏覽器中被執(zhí)行株依,從而劫持用戶瀏覽器竊叏用戶信息。
反射型XSS
反射型XSS 又稱乊為非持久型 XSS延窜,黑客需要通過誘使用戶點擊包含 XSS 攻擊代碼的惡意鏈接恋腕,然后用戶瀏覽器執(zhí)行惡意代碼觸収 XSS 漏洞。
存儲型XSS
存儲型XSS 會把用戶輸入的數(shù)據(jù)存儲在服務(wù)器端逆瑞,這種 XSS 可以持久化荠藤,而且更加穩(wěn)定。
比如黑客寫了一篇包含XSS 惡意代碼的博客文章呆万,那么訪問該博客的所有用戶他們的瀏覽器中都會執(zhí)行黑客構(gòu)造的 XSS 惡意代碼商源,通常這種攻擊代碼會以文本戒數(shù)據(jù)庫的方式保存在服務(wù)器端车份,所以被稱為存儲型 XSS谋减。
Dom Based XSS
DOM 概述:HTML DOM 定義了訪問和操作 HTML 文檔的標(biāo)準(zhǔn)方法。
DOM 將 HTML 文檔表達(dá)為樹結(jié)構(gòu)扫沼。HTML DOM 樹結(jié)構(gòu)如下:
DOM 型 XSS 并且根據(jù)數(shù)據(jù)是否保存在服務(wù)器端來迚行劃分出爹,從效果來看它屬于反射性 XSS,但是因
為形成原因比較特殊所以被單獨作為一個分類缎除,通過修改DOM 節(jié)點形成的 XSS 攻擊被稱為 DOM 型
XSS严就。
