【网络安全】XSS跨站脚本攻击专题讲解

一、XSS攻击定义,分类及危害

1、XSS跨站脚本攻击定义

     跨站脚本攻击(Cross Site Scripting)为了不和层叠样式表的缩写混淆,故将跨站脚本攻击缩写为XSS。

     恶意攻击将WEB页面插入恶意Script代码,当用户浏览该网页时,嵌入其中的Web里面的Script代码将会被执行,从而打到恶意攻击用户的特殊目的。

2、XSS跨站脚本攻击危害

      危害包括但不局限于:盗取管理员或普通用户的cookie,session,读取,篡改,添加或删除敏感数据;网站挂马;非法转账;控制受害者机器向其他网站发起攻击。

3、XSS脚本攻击过程

【网络安全】XSS跨站脚本攻击专题讲解_第1张图片

 

4、XSS攻击分类

        按攻击方式分类

        > 反射性xss :只是简单地把用户输入的数据反射给浏览器,黑客需要诱惑用户点击链接。也叫做非持久性xss。

        > 存储性xss:把用户输入的数据存储在服务端。这种xss有很强的稳定性。比较常见的一个场景是攻击者写下一篇包含恶意JavaScript代码的博客文章,文章发表后,所有访问该博客文章的用户,都会在他们的浏览器中执行这段恶意的JavaScript代码。黑客把恶意的脚本保留在服务器端。存储性XSS也叫持久性XSS.

        > DOM based xss : 从效果来看也是一种反射性xss。通过修改页面的DOM节点形成xss。称为DOM Based xss。

二、XSS 攻击常见编码及绕过方式

1、XSS跨站脚本攻击常见编码

【网络安全】XSS跨站脚本攻击专题讲解_第2张图片

2、XSS跨站脚本攻击绕过实例

【网络安全】XSS跨站脚本攻击专题讲解_第3张图片

    由于网站做了一些防护,构造的xss攻击没有生效,如图 

【网络安全】XSS跨站脚本攻击专题讲解_第4张图片

 构造js编码方式绕过防护

【网络安全】XSS跨站脚本攻击专题讲解_第5张图片 

 

3、XSS跨站脚本攻击常用语句

 

你可能感兴趣的:(网络安全,web安全,xss,安全)