当前位置:网站首页>XSS相关知识点

XSS相关知识点

2022-08-04 03:09:00 Lord Chaser

一、XSS介绍
XSS全称跨站脚本(Cross Site Scripting),为避免与层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故缩写为XSS。它是指 恶意攻击者将恶意的Script代码插入进Web页面中,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意攻击用户的目的。XSS攻击针对的是用户层面的攻击。
二、XSS产生的原因
形成XSS漏洞的主要原因是程序对输入和输出的控制过滤不够完善、严格,导致“精心构造”的脚本输入后,在输到前端时被浏览器当作有效代码解析执行从而产生危害。
三、XSS漏洞分类
1、反射型XSS
反射型XSS 是非持久型、参数型的跨站脚本,这种攻击方式往往具有一次性,只在用户单击时触发。
反射型XSS:经过后端,不经过数据库
数据流向:浏览器前端 --> 后端 -->浏览器前端
2、DOM型XSS
DoM是文档对象模型( Document Object Model)的缩写。它是HTML文档的对象表示,同时也是外部内容(例如 JavaScript)与HTML元素之间的接口。
它是基于DoM文档对象模型的一种漏洞,并且DOM型XSS是基于JS上的,并不需要与服务器进行交互。其通过修改页面DOM节点数据信息而形成的ⅩSS跨站脚本攻击。不同于反射型XSS和存储型XSS,基于DOM的XSS跨站脚本攻击往往需要针对具体的 Javascript DOM代码进行分析,并根据实际情况进行XSS跨站脚本攻击的利用。
数据流向:URL–> 浏览器前端
3、存储型XSS
存储型XSS 是持久性跨站脚本。持久性体现在XSS代码不是在某个参数(变量)中,而是写进数据库或文件等可以永久保存数据的介质中。存储型XSS通常发生在留言板等地方。
数据流向:浏览器–> 后端–> 数据库–> 后端–> 浏览器
四、总结
反射型XSS是非持久的跨站脚本。
DOM型XSS是基于DOM文档对象模型的一种漏洞。
存储型XSS是持久性跨站脚本。
在危害性上:存储型XSS > DOM-XSS > 反射型XSS。

原网站

版权声明
本文为[Lord Chaser]所创,转载请带上原文链接,感谢
https://blog.csdn.net/weixin_50931715/article/details/126138242

边栏推荐

猜你喜欢

随机推荐