资讯专栏INFORMATION COLUMN

跨站脚本攻击XSS

hellowoody / 1005人阅读

摘要:简介跨站脚本攻击英文全称是本来缩写是但是为了和层叠样式表有所区别所以在安全领域叫做攻击通常是指黑客通过注入篡改了网页插入了恶意的脚本从而在用户浏览网页时控制用户浏览器的一种攻击在一开始这种攻击的演示案例是跨域的所以叫做跨站脚本但是发展到今天

XSS简介

跨站脚本攻击,英文全称是Cross Site Scrit,本来缩写是CSS,但是为了和层叠样式表(Cascading Style Sheet, CSS)有所区别,所以在安全领域叫做"XSS".

XSS攻击,通常是指黑客通过"HTML注入"篡改了网页,插入了恶意的脚本,从而在用户浏览网页时,控制用户浏览器的一种攻击.在一开始,这种攻击的演示案例是跨域的,所以叫做"跨站脚本".但是发展到今天,是否跨域已经不再重要.

那么什么是XSS呢?看看下面的例子:
假设一个页面把用户输入参数直接输出到页面上:

".$input."
"; ?>

在正常情况下,用户向param提交的数据会展示到页面中,比如提交:

http://www.a.com/test.php?param=这是一个测试!

但是如果提交一段HTML代码:

http://www.a.com/test.php?param=

会发现,alert(/xss/)在当前页面执行了.
用户输入的Script脚本已经被写入页面中,而这显然是开发者所不希望看到的.上面这个例子,就是XSS的第一种类型:反射型XSS.
XSS根据效果的不同可以分成如下几类.

反射型XSS

反射型XSS只是简单地把用户输入的数据"反射"给浏览器.也就是说,黑客往往需要诱使用户"点击"一个恶意链接,才能攻击成功.反射型XSS也叫做"非持久"

存储型XSS

存储型XSS会把用户输入的数据"存储"在服务器端.这种XSS具有很强的稳定性.比较常见的一个场景就是,黑客写下一篇包含恶意JavaScript代码的博客文章,文章发表后,所有访问该博客的用户,都会在它们的浏览器中执行这段恶意的JavaScript代码.黑客把恶意的脚本保存到服务端,所以这种XSS攻击就叫做"存储型XSS".

DOM Based XSS

实际上,这种类型的XSS并非按照"数据是否保存在服务器端"来划分,DOM Based XSS从效果上来说也是反射型XSS.多带带划分出来,是因为DOM Based XSS的形成原因比较特别.通过修改页面的DOM节点形成的XSS,称之为DOM Based XSS

文章版权归作者所有,未经允许请勿转载,若此文章存在违规行为,您可以联系管理员删除。

转载请注明本文地址:https://www.ucloud.cn/yun/115830.html

相关文章

  • 20170812-XSS跨站脚本攻击

    摘要:跨站脚本攻击跨站脚本攻击为了不和层叠样式表缩写混淆,所以将跨站脚本攻击缩写为。而始终被蒙在鼓里。大大增强了网页的安全性减少注意这里是减少而不是消灭跨站脚本攻击。 XSS跨站脚本攻击: XSS 跨站脚本攻击(Cross Site Scripting),为了不和层叠样式表(Cascading Style Sheets,CSS)缩写混淆, 所以将跨站脚本攻击缩写为XSS。 XSS是攻击者在w...

    894974231 评论0 收藏0
  • 《网络黑白》一书所抄袭的文章列表

    摘要:网络黑白一书所抄袭的文章列表这本书实在是垃圾,一是因为它的互联网上的文章拼凑而成的,二是因为拼凑水平太差,连表述都一模一样,还抄得前言不搭后语,三是因为内容全都是大量的科普,不涉及技术也没有干货。 《网络黑白》一书所抄袭的文章列表 这本书实在是垃圾,一是因为它的互联网上的文章拼凑而成的,二是因为拼凑水平太差,连表述都一模一样,还抄得前言不搭后语,三是因为内容全都是大量的科普,不涉及技术...

    zlyBear 评论0 收藏0
  • XSS跨站脚本攻击

    摘要:三攻击分类反射型又称为非持久性跨站点脚本攻击,它是最常见的类型的。存储型又称为持久型跨站点脚本,它一般发生在攻击向量一般指攻击代码存储在网站数据库,当一个页面被用户打开的时候执行。例如,当错误,就会执行事件利用跨站。 一、简介 XSS(cross site script)是指恶意攻击者利用网站没有对用户提交数据进行转义处理或者过滤不足的缺点,进而添加一些代码,嵌入到web页面中去。使别...

    BingqiChen 评论0 收藏0
  • XSS跨站脚本攻击

    摘要:三攻击分类反射型又称为非持久性跨站点脚本攻击,它是最常见的类型的。存储型又称为持久型跨站点脚本,它一般发生在攻击向量一般指攻击代码存储在网站数据库,当一个页面被用户打开的时候执行。例如,当错误,就会执行事件利用跨站。 一、简介 XSS(cross site script)是指恶意攻击者利用网站没有对用户提交数据进行转义处理或者过滤不足的缺点,进而添加一些代码,嵌入到web页面中去。使别...

    zsirfs 评论0 收藏0

发表评论

0条评论

最新活动
阅读需要支付1元查看
<