XSS(跨站脚本攻击)

1.原理

        跨站脚本攻击XSS(Cross Site Scripting)是指攻击者使用JavaScript语句向web页面插入恶意代码,用户访问该页面时,恶意代码执行从而窃取用户信息的攻击方式。

2.危害

针对用户 针对web服务
窃取cookie 劫持后台
网络钓鱼 内网扫描
放马挖矿 篡改页面
广告 传播蠕虫

3.类型

  • 反射型XSS

        将恶意脚本附加到URL地址参数中或查询框里,可将URL链接发给受害者,受害者点击访问即触发,只执行一次,交互数据不会存储到数据库里。

XSS(跨站脚本攻击)_第1张图片

XSS(跨站脚本攻击)_第2张图片

  • 存储型XSS

        交互数据会被存储到服务器里永久储存,一般出现在评论区或留言板,具有持久危害。

XSS(跨站脚本攻击)_第3张图片

每次访问该页面时都会执行。

XSS(跨站脚本攻击)_第4张图片

4.利用

        在查询框里放入js语句,获取用户cookies传入后台(这里的用户是192.168.248.1,后台为192.168.57.1)

XSS(跨站脚本攻击)_第5张图片

XSS(跨站脚本攻击)_第6张图片

 在后台中可以看到来自用户的信息

XSS(跨站脚本攻击)_第7张图片

文章部分转载自 https://blog.csdn.net/qq_44857938/article/details/118034947

你可能感兴趣的:(xss,前端,网络安全,javascript)