要讓別人觸發(fā)xss膏执,比如要讓對方訪問到一個包含xss的URL更米,這是觸發(fā)xss的前提毫痕。下面說幾種觸發(fā)xss的方法。
1.裸URL
這種情況一般是比較正規(guī)的網(wǎng)站栏笆,用戶往往對這種網(wǎng)站戒備心下降臊泰,比如百度的網(wǎng)站的URL、GOOGLE網(wǎng)站的URL针饥,其實用戶很容易就中招了需频。
2.誘惑性URL
恭喜你中獎了,三星筆記本和蘋果手機苞七,點擊下面的URL領(lǐng)取。
3.短網(wǎng)址
短網(wǎng)址這個東西會將真實的URL“隱藏”起來莽鸭,非常隱蔽吃靠。
4.二維碼
二維碼和短網(wǎng)址其實有些相似巢块,都是講真實的URL“隱藏”起來的一種方式,每個二維碼都對應(yīng)一個URL姥闭,所以二維碼是不能隨便掃的。
相比SQL等主動攻擊的方式棚品,xss更被動一些,你得等別人去點擊去訪問那個URL铜跑,就像是釣魚一樣,你不知道什么時候魚能釣上來掷空,但是如果釣上來可能就是一條大魚囤锉。