什么是XSS漏洞?

老生常谈,什么是XSS?什么是XSS漏洞?来看看吧

XSS是啥?

网上很多它的解释,诸如说跨站脚本攻击,将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。

我们来重新定义一下(或者为了让更多人能够理解,我们重新解释一下)

比如 3 + 5 = __

这道数学题很简单吧,答案是 8 ,那它是否存在XSS漏洞呢?
答案是 有
这道题没有对答案进行限制,假如我们不知道答案是 8 ,我们可以回答 2 + 6 或者 4 + 4 ,变为 3 + 5 = 2 + 6判断结果也是正确的。这样就在我们不知道正确答案的情况下,绕过检测并正确提交。

其实,XSS也就是如此。

XSS漏洞原理

比如一个简单的输入提交

你好,尊敬的______

我们出其不意,尝试其他的输入,比如像这样

你好啊,尊敬的 xxx

会发生什么呢?
如果我们输入的代码被执行了,页面出现弹窗,就说明这是一个XSS漏洞。

你可能感兴趣的:(渗透测试,XSS漏洞,XSS)