今天本来想发XSS犯罪历史,举几个例子提高一下大家兴趣的,结果种种原因没能写,至于原因,有兴趣的网友可以看看《一个空格引发的思考》下面言归正传说说XSS的分类:
一般说来,XSS分三类:
第一类,反射型XSS:这类XSS是临时的,不具有持久性,所以也称为非持久性XSS,早期常见的是错误页面,比如http://xxxx.error.jsp?msg=error,如果JSP中直接把msg变量写在了页面上,那么当error变成了js脚本,那么就危险了。由于反射型XSS不具有持久性,所以攻击的方式一般需要“欺骗”用户来点击,随着网络的发展,“欺骗”的确不那么容易了,所以很多人很鄙视反射型XSS,认为只有先“欺骗”用户才能攻击,但是,此类XSS配合点击劫持威力也是不容小觑的!
第二类,存储型XSS:存储型XSS指用户提交的数据被保存在了应用程序的数据库中,那么当其他用户来访问这个页面的时候,应用程序从数据库中加载数据时,已经加载了这段代码,这样的XSS攻击能力显然会吸引更多的人的关注。早期在图文并存的论坛中,由于可以上传图片,也能编辑图片的一些属性,容易受存储型XSS的攻击。
第三类,基于DOM的XSS:此类XSS类似反射型的XSS,但主要是基于DOM(document object model文档对象模型)中的document对象和window对象。
总结,今天先只谈分类,下节在周末的时候更新,主要用一些历史上用过的攻击实例来分析这三类XSS如何利用。
扫一扫
3647
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
