XSS攻击

定义

XSS攻击 -- 通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。

这些恶意网页程序通常是JavaScript,但实际上也可以包括Java、 VBScript、ActiveX、 Flash 或者甚至是普通的HTML。攻击成功后,攻击者可能得到包括但不限于更高的权限(如执行一些操作)、私密网页内容、会话和cookie等各种内容。

分类

  • 反射型
  • 存储型
  • DOM型

应用

  • Cookie 盗取
  • DDOS 攻击
  • XSS 蠕虫
反射型

原理:通过提交恶意代码,规避服务端验证,之后由服务端发送回客户端,并在客户端执行的方式。

存储型

原理:与反射型类似,同样是客户端提交的恶意代码,规避了服务端的验证。存储在了服务端的内存、数据库、文件等位置。需要等待合适的机会重新发送给客户端,并在客户端执行的方式~

DOM型

原理:主要利用webapi (document.location,document.URL,document.open(),window.location.href,window.navigate(),window.open 等)

XSS攻击应用

Cookie 盗取

常见的XSS攻击目的基本上是盗取用户的cookie

DDOS攻击

DDOS 分布式拒绝访问,

你可能感兴趣的:(XSS攻击)