xss攻擊是篡改網頁,插入惡意指令碼,當使用者在瀏覽網頁時,實現控制使用者瀏覽器行為的一種攻擊方式。例如:document.write(『hello』); 篡改網頁內容
xss攻擊形式有三種:儲存型、反射型、dom型
儲存型xss:又叫持久型xss,主要是將paload傳送到伺服器並儲存到資料庫中,這樣在下次訪問頁面時,就會將之前存入的惡意**進行解析,進而修改網頁內容形成xss攻擊。
訪問攜帶xss指令碼的頁面;儲存在資料庫中;後端web應用程式輸出;輸出在http相應中。
反射型xss:又叫非持久型xss,指請求url時將指令碼作為引數的值插入到url中提交給伺服器,伺服器解析後,響應結果中包含xss**,從而實現篡改網頁內容。
訪問攜帶xss指令碼的url;儲存在url(把xss寫在url中);後端web應用程式輸出;輸出在http相應中。
dom型:通過瀏覽器端的dom解析。如eval語句,eval語句可以將一段字串轉換為真正的js語句,容易造成xss攻擊。
訪問攜帶xss指令碼的url;儲存在url中(hash);js輸出;輸出在動態構造的dom節點。
反射型xss原理
從前端獲取輸入,向後台傳參。這時如果輸入的資料可以被後端執行,那就存在xss反射型漏洞。比如下面的**。
index.html
<
網安筆記4
操作環境虛擬機器win2003 1 使用者概述 2 內建帳號 給人使用的帳號 administrator 管理員 guest 來賓帳號 計算機服務元件相關的系統賬號 system 系統賬號許可權至高無上 local services 本地服務帳號許可權等於普通 network services 網路...
網安筆記5
1 ntfs許可權概述 對檔案資料夾設定許可權 2 檔案系統概述 檔案系統即在外部儲存裝置上組織檔案的方法 3 ntfs檔案系統特點 4 修改ntfs許可權 開啟方法 資料夾右鍵屬性 共享 設定共享名 設定共享許可權 在本地登入時,只受ntfs許可權的影響 在遠端登入時,將受共享及ntfs許可權的共...
慕課網 WEB安全 XSS學習筆記
反射型 發出請求時,xss 出現在url中,作為輸入提交到伺服器端,服務端解析後響應,xss 隨響應內容一起傳回給瀏覽器,最後瀏覽器解析執行xss 這個過程像一次反射,故叫反射型xss。儲存型 儲存型xss和反射型xss的差別在於,提交 會儲存在伺服器端 資料庫 記憶體 檔案系統等 下次請求目標頁面...