XSS攻击

定义

XSS攻击 -- 通过利用网页开发时留下的漏洞，通过巧妙的方法注入恶意指令代码到网页，使用户加载并执行攻击者恶意制造的网页程序。

这些恶意网页程序通常是JavaScript，但实际上也可以包括Java、 VBScript、ActiveX、 Flash 或者甚至是普通的HTML。攻击成功后，攻击者可能得到包括但不限于更高的权限（如执行一些操作）、私密网页内容、会话和cookie等各种内容。

分类

• 反射型
• 存储型
• DOM型

应用

• Cookie 盗取
• DDOS 攻击
• XSS 蠕虫

反射型

原理：通过提交恶意代码，规避服务端验证，之后由服务端发送回客户端，并在客户端执行的方式。

存储型

原理：与反射型类似，同样是客户端提交的恶意代码，规避了服务端的验证。存储在了服务端的内存、数据库、文件等位置。需要等待合适的机会重新发送给客户端，并在客户端执行的方式~

DOM型

原理：主要利用webapi (document.location，document.URL，document.open()，window.location.href，window.navigate()，window.open 等)

XSS攻击应用

Cookie 盗取

常见的XSS攻击目的基本上是盗取用户的cookie

DDOS攻击

DDOS 分布式拒绝访问，