web安全测试之 xss攻击

web安全测试之 xss攻击

软件测试资源分享| 免费软件测试资料

一、 背景知识

1、 什么是 XSS 攻击?

XSS 攻击: 跨站脚本攻击(Cross Site Scripting) , 为不和层叠样式表(Cascading Style Sheets,CSS)的缩写混淆。 故将跨站脚本攻击缩写为 XSS。 跨站脚本攻击, 是 Web 程序中常见的漏洞,XSS 属于被动式且用于客户端的攻击方式, 所以容易被忽略其危害性。 其原理是攻击者在网页中嵌入恶意代码(例如 JavaScript), 当其它用户浏览该网站时, 这段代码会自动执行, 从而达到攻击的目的。 比如这些代码包括HTML 代码和客户端脚本。 对于跨站脚本攻击, 黑客界共识是: 跨站脚本攻击是新型的"缓冲区溢出攻击", 而 JavaScript 是新型的"ShellCode"。XSS 并不限于可见的页面输入, 还有可能是隐藏表单域、 get 请求参数等。

2、 XSS 攻击的危害:

盗取用户 Cookie、 破坏页面结构、 导航到恶意网站、 获取浏览器信息、 携带木马等。

二、 XSS 漏洞的分类

XSS 漏洞按照攻击利用手法的不同, 有以下三种类型:

XSS 攻击类似于 SQL 注 入攻击, 攻击之前, 我们先找到一个存在 XSS 漏洞的网站,

XSS 漏洞分为两种, 一种是 DOM Based XSS 漏洞, 另一种是 Stored XSS 漏洞。 理论上,

你可能感兴趣的:(linux运维工程师,web安全测试之,xss攻击)