【网络安全】XSS跨站脚本攻击专题讲解

一、XSS攻击定义，分类及危害

1、XSS跨站脚本攻击定义

     跨站脚本攻击（Cross Site Scripting）为了不和层叠样式表的缩写混淆，故将跨站脚本攻击缩写为XSS。

     恶意攻击将WEB页面插入恶意Script代码，当用户浏览该网页时，嵌入其中的Web里面的Script代码将会被执行，从而打到恶意攻击用户的特殊目的。

2、XSS跨站脚本攻击危害

      危害包括但不局限于：盗取管理员或普通用户的cookie，session，读取，篡改，添加或删除敏感数据；网站挂马；非法转账；控制受害者机器向其他网站发起攻击。

3、XSS脚本攻击过程

 

4、XSS攻击分类

        按攻击方式分类

        > 反射性xss ：只是简单地把用户输入的数据反射给浏览器，黑客需要诱惑用户点击链接。也叫做非持久性xss。

        > 存储性xss：把用户输入的数据存储在服务端。这种xss有很强的稳定性。比较常见的一个场景是攻击者写下一篇包含恶意JavaScript代码的博客文章，文章发表后，所有访问该博客文章的用户，都会在他们的浏览器中执行这段恶意的JavaScript代码。黑客把恶意的脚本保留在服务器端。存储性XSS也叫持久性XSS.

        > DOM based xss : 从效果来看也是一种反射性xss。通过修改页面的DOM节点形成xss。称为DOM Based xss。

二、XSS 攻击常见编码及绕过方式

1、XSS跨站脚本攻击常见编码

2、XSS跨站脚本攻击绕过实例

    由于网站做了一些防护，构造的xss攻击没有生效，如图 

 构造js编码方式绕过防护

 

 

3、XSS跨站脚本攻击常用语句