XSS攻击方法

 

 

 首先通过构造XSS代码的方法来构造XSS脚本，用以测试发现漏洞，然后利用以下方法实现攻击。

（1）Redirection - 重定向

重定向被攻击者，如document.location=http://www.evil.com

（2）Clickjacking - 点击劫持

可用来钓鱼，如通过onclick触发

（3）URL Spoofing - URL欺骗

常用于钓鱼，页面被劫持并且信息发送到攻击者指定的地址

（4）Session Hijacking - 会话劫持

也叫Cookie Stealing，利用已登录的会话来获取控制权限，如document.cookie

（5）Cookie Stuffing - Cookie植入

也叫Cookie Dropping，利用pop-up，frame，iframe，image，javascript，stylesheet或者flash来实现

（6）Ad Hijacking - 广告劫持

控制广告脚本，用户点击时触发攻击

（7）CSRF/XSRF - 跨站请求伪造

（8）History Stealing

（9）Browser Hijacking - 浏览器劫持

（10）Distributed port scanning

（11）DDoS

（12）XSS Tunneling

（13）Distributed Password Cracking

（14）Worms

（15）Arbitrary File Execution

 

http://www.slideshare.net/search/slideshow?searchfrom=header&q=xss