一,、xss攻擊xss攻擊(Cross Site Scripting)全稱跨站腳本攻擊,。通過(guò)嵌入惡意腳本代碼到正常的用戶能訪問(wèn)到的網(wǎng)頁(yè)。當(dāng)用戶正常訪問(wèn)該頁(yè)面時(shí),,執(zhí)行惡意代碼,。是非常普遍的一種web漏洞。xss攻擊可竊取cookie信息,,監(jiān)聽用戶行為,威脅web服務(wù)器安全,,危害極大,。二,、xss漏洞比如說(shuō)HTML超文本標(biāo)記語(yǔ)言中<>標(biāo)識(shí)開始,,在動(dòng)態(tài)頁(yè)面中插入<Javascript腳本語(yǔ)言>,使得網(wǎng)頁(yè)誤以為插入了HTML語(yǔ)言,,而成功執(zhí)行Javascript腳本語(yǔ)言,。xss攻擊就利用了xss漏洞,執(zhí)行腳本語(yǔ)言,。 三、分類1. 反射型xss攻擊反射型xss攻擊是非持久型的,,只執(zhí)行一次,。常見于誘導(dǎo)用戶點(diǎn)擊的惡意鏈接。 如:惡意鏈接
攻擊者將帶有惡意鏈接的Email發(fā)送給用戶,,用戶點(diǎn)擊url,,進(jìn)入該頁(yè)面,,執(zhí)行嵌入在url中的Javascript腳本代碼
如果我們吧改成其他的更有惡意的腳本代碼,,我們可以輕松獲取用戶cookie。 2. 存儲(chǔ)型xss攻擊 >存儲(chǔ)型xss攻擊是持久型的,。會(huì)直接威脅web服務(wù)器安全,,無(wú)需用戶點(diǎn)擊特定的url就可執(zhí)行腳本攻擊。 三,、常見的xss攻擊代碼1. 自動(dòng)彈出
2,、撐滿屏幕
3、增加屬性觸發(fā)
|
|
|
