摘要:簡介跨站腳本攻擊英文全稱是本來縮寫是但是為了和層疊樣式表有所區別所以在安全領域叫做攻擊通常是指黑客通過注入篡改了網頁插入了惡意的腳本從而在用戶瀏覽網頁時控制用戶瀏覽器的一種攻擊在一開始這種攻擊的演示案例是跨域的所以叫做跨站腳本但是發展到今天
XSS簡介
跨站腳本攻擊,英文全稱是Cross Site Scrit,本來縮寫是CSS,但是為了和層疊樣式表(Cascading Style Sheet, CSS)有所區別,所以在安全領域叫做"XSS".
XSS攻擊,通常是指黑客通過"HTML注入"篡改了網頁,插入了惡意的腳本,從而在用戶瀏覽網頁時,控制用戶瀏覽器的一種攻擊.在一開始,這種攻擊的演示案例是跨域的,所以叫做"跨站腳本".但是發展到今天,是否跨域已經不再重要.
那么什么是XSS呢?看看下面的例子:
假設一個頁面把用戶輸入參數直接輸出到頁面上:
".$input."
在正常情況下,用戶向param提交的數據會展示到頁面中,比如提交:
http://www.a.com/test.php?param=這是一個測試!
但是如果提交一段HTML代碼:
http://www.a.com/test.php?param=
會發現,alert(/xss/)在當前頁面執行了.
用戶輸入的Script腳本已經被寫入頁面中,而這顯然是開發者所不希望看到的.上面這個例子,就是XSS的第一種類型:反射型XSS.
XSS根據效果的不同可以分成如下幾類.
反射型XSS只是簡單地把用戶輸入的數據"反射"給瀏覽器.也就是說,黑客往往需要誘使用戶"點擊"一個惡意鏈接,才能攻擊成功.反射型XSS也叫做"非持久"
存儲型XSS存儲型XSS會把用戶輸入的數據"存儲"在服務器端.這種XSS具有很強的穩定性.比較常見的一個場景就是,黑客寫下一篇包含惡意JavaScript代碼的博客文章,文章發表后,所有訪問該博客的用戶,都會在它們的瀏覽器中執行這段惡意的JavaScript代碼.黑客把惡意的腳本保存到服務端,所以這種XSS攻擊就叫做"存儲型XSS".
DOM Based XSS實際上,這種類型的XSS并非按照"數據是否保存在服務器端"來劃分,DOM Based XSS從效果上來說也是反射型XSS.多帶帶劃分出來,是因為DOM Based XSS的形成原因比較特別.通過修改頁面的DOM節點形成的XSS,稱之為DOM Based XSS
文章版權歸作者所有,未經允許請勿轉載,若此文章存在違規行為,您可以聯系管理員刪除。
轉載請注明本文地址:http://specialneedsforspecialkids.com/yun/52033.html
摘要:跨站腳本攻擊跨站腳本攻擊為了不和層疊樣式表縮寫混淆,所以將跨站腳本攻擊縮寫為。而始終被蒙在鼓里。大大增強了網頁的安全性減少注意這里是減少而不是消滅跨站腳本攻擊。 XSS跨站腳本攻擊: XSS 跨站腳本攻擊(Cross Site Scripting),為了不和層疊樣式表(Cascading Style Sheets,CSS)縮寫混淆, 所以將跨站腳本攻擊縮寫為XSS。 XSS是攻擊者在w...
摘要:網絡黑白一書所抄襲的文章列表這本書實在是垃圾,一是因為它的互聯網上的文章拼湊而成的,二是因為拼湊水平太差,連表述都一模一樣,還抄得前言不搭后語,三是因為內容全都是大量的科普,不涉及技術也沒有干貨。 《網絡黑白》一書所抄襲的文章列表 這本書實在是垃圾,一是因為它的互聯網上的文章拼湊而成的,二是因為拼湊水平太差,連表述都一模一樣,還抄得前言不搭后語,三是因為內容全都是大量的科普,不涉及技術...
摘要:三攻擊分類反射型又稱為非持久性跨站點腳本攻擊,它是最常見的類型的。存儲型又稱為持久型跨站點腳本,它一般發生在攻擊向量一般指攻擊代碼存儲在網站數據庫,當一個頁面被用戶打開的時候執行。例如,當錯誤,就會執行事件利用跨站。 一、簡介 XSS(cross site script)是指惡意攻擊者利用網站沒有對用戶提交數據進行轉義處理或者過濾不足的缺點,進而添加一些代碼,嵌入到web頁面中去。使別...
閱讀 1487·2021-11-24 11:16
閱讀 2689·2021-07-28 12:32
閱讀 2302·2019-08-30 11:22
閱讀 1440·2019-08-30 11:01
閱讀 595·2019-08-29 16:24
閱讀 3547·2019-08-29 12:52
閱讀 1625·2019-08-29 12:15
閱讀 1332·2019-08-29 11:18