XSS必备知识
2023-02-18 16:36:44 时间
xss是什么?
以下来源于网络: XSS全称(Cross Site Scripting)跨站脚本攻击,XSS属于客户端攻击,受害者最终是用户,但特别要注意的是网站管理人员也属于用户之一,这就意味着XSS可以进行“服务端”攻击,因为管理员要比普通用户的权限大得多,一般管理员都可以对网站进行文件管理,数据管理等操作,而攻击者一般也是靠管理员身份作为“跳板”进行实施攻击 XSS攻击最终目的是在网页中嵌入客户端恶意脚本代码,最常用的攻击代码是 javascript 语言,但也会使用其它的脚本语言
xss漏洞的原因?
未对用户可控输入进行过滤以及输出内容未做合理处理导致了前端或者输出点直接认为是有效代码而执行了
xss漏洞可以做什么?
常见的有:
- 劫持用户cookie
- 框架钓鱼
- 键盘记录
- 网页挂马 一些xss平台或者工具还有其它的功能比如屏幕监控、读取文件内容、发送错误升级提示等
跨域是什么?
当协议、主机(主域名,子域名)、端口中的任意一个不相同时,称为不同域,把不同的域之间请求数据的操作,成为跨域操作
xss的分类:
反射型
:交互的数据一般不会被存在在数据库里面,只是简单的把用户输入的数据反射给浏览器,就一次性
储存型
:交互的数据会被存在在数据库里面,永久性存储,具有很强的稳定性
DOM型
:不与后台服务器产生数据交互,通过前端的dom节点形成的XSS漏洞
xss漏洞如何去找
在输入的地方输入特殊字符(’ " <> | &)+自定义字符,如果未过滤直接输出原样的结果,那么这里就可能有xss漏洞
相关文章
- Java基础之数组的定义与使用详解
- Java基础之数据类型、标识符、运算符、程序流程控制结构
- 数据结构(java版)学习笔记(四)——线性表之循环链表
- 数据结构(java版)学习笔记(三)——线性表之单链表
- 数据结构(java版)学习笔记(二)——线性表之顺序表
- 数据结构(java版)学习笔记(一)——线性表
- 数据结构(java版)学习笔记(序章)
- 抓 https 加密数据,偷偷摸摸爽得很!
- 小游戏赛道迎来新一轮增长机会,技术升级实现多平台布局
- Photoshop 2021正式版更新,附全系列下载
- Ps | Adobe Photoshop 2023 for Win 24.1 中文激活版下载及安装教程
- 简单易用的监控告警系统 | HertzBeat 在 Rainbond 上的使用分享
- 原来Docker容器中设置时区这么简单
- 小游戏进入增长快车道,行业变现模式分析
- (一)汇编语言——基础知识
- ghost系统后只有C盘了别的盘的文件怎样恢复
- (二)汇编语言——寄存器
- (三)汇编语言——DOSBox
- 分布式是大数据处理的万能药?
- SAP ABAP 报表屏幕输入字段如何实现联动效果试读版