XSS的原理和分类

admin 2022年9月29日19:03:57评论39 views字数 641阅读2分8秒阅读模式

xss呢就是在web页面插入一段恶意的script代码,用户浏览页面的的时候,嵌入web里的script代码就执行,然后就达到恶意攻击用户的目的。xss是针对用户层面的攻击。

xss有三类:存储型、反射型和DOM型;

存储型XSS:

存储型XSS,持久化,代码是存储在服务器中的,如在个人信息或发表文章等地方,插入代码,如果没有过滤或过滤不严,那么这些代码将储存到服务器中,用户访问该页面的时候触发代码执行。这种XSS比较危险,容易造成蠕虫,盗窃cookie。

XSS的原理和分类

反射型XSS:

反射型XSS,非持久化,需要欺骗用户自己去点链接才能触发XSS代码(并没有存储在服务器中),一般容易出现在搜索页面。反射型XSS大多数用来盗取用户的Cookie。

XSS的原理和分类

DOM型XSS:

DOM型XSS,不经过后端,是基于文档对象模型(Document Objeet Model,DOM)的一种漏洞,DOM-XSS是通过url传入参数去控制触发的,其实也属于反射型XSS。 DOM的详解:DOM文档对象模型

可能触发DOM型XSS的属性:

document.referer
window.name
location
innerHTML
documen.write

如图,我们在URL中传入参数的值,然后客户端页面通过js脚本利用DOM的方法获得URL中参数的值,再通过DOM方法赋值给选择列表,该过程没有经过后端,完全是在前端完成的。所以,我们就可以在我们输入的参数上做手脚了。

XSS的原理和分类


原文始发于微信公众号(SkyMirror 穹镜):XSS的原理和分类

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年9月29日19:03:57
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   XSS的原理和分类https://cn-sec.com/archives/1324674.html

发表评论

匿名网友 填写信息