xss攻击

xss攻击简介

XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。
常用的XSS攻击手段和目的有:
1、盗用cookie,获取敏感信息。
2、利用植入Flash,通过crossdomain权限设置进一步获取更高权限;或者利用Java等得到类似的操作。
3、利用iframe、frame、XMLHttpRequest或上述Flash等方式,以(被攻击)用户的身份执行一些管理动作,或执行一些一般的如发微博、加好友、发私信等操作。
4、利用可被攻击的域受到其他域信任的特点,以受信任来源的身份请求一些平时不允许的操作,如进行不当的投票活动。
5、在访问量极大的一些页面上的XSS可以攻击一些小型网站,实现DDoS攻击的效果。

xss的攻击类型

(1)存储型
(2)反射型
(3)DOM型
1.存储型xss的攻击原理
攻击者在页面上插入xss代码,服务器将数据存入数据库,当用户访问到存在xss漏洞的页面时,服务端从数据库中取出数据展示到页面,导致xss代码执行,达到攻击效果。
2.反射型
攻击者在URL中插入XSS代码,服务端将URL中的XSS代码输出到页面上,攻击者将带有XSS代码的URL发送给用户拥护打开后受到XSS攻击.
3.DOM型

攻击者在URL中插入XSS代码,前端页面直接从URL获取XSS代码并且输出到页面上,导致XSS代码的执行攻击者将带有XSS代码的URL发送给用户,用户打开后受到XSS攻击.

xss练习
xss攻击_第1张图片

<script>alert(1)</script>
<script>alert(2)</script>

xss攻击_第2张图片

xss攻击_第3张图片

"><script>alert(1)</script>

你可能感兴趣的:(xss攻击)