本文详细介绍了XSS(跨站脚本)攻击,包括其定义、危害以及两种主要类型:反射型和存储型。通过DVWA实验,展示了XSS攻击如何进行,如弹框警告、页面重定向和盗用cookie。提醒读者注意防范过于信任客户端提交的数据。
一、什么是XSS?
- XSS(cross site script)
- 指恶意攻击者利用网站没有对用户提交数据进行转义处理或者过滤不足的缺点,进而添加一些代码,嵌入到web页面中去,使别的用户访问都会执行相应的嵌入代码,从而盗取用户资料,利用用户身份进行某种动作或者对访问者进行病毒侵害
- 一种攻击方式
就比如空间的留言,正常情况下,留言板会把用户留言内容展示出来。一般情况下,留言内容是正常文字,如果留言内容变成XSS脚本,那么浏览器的网页代码就会变化,进而浏览器解析用户输入代码进而形成攻击。
二、有哪些危害呢?
- 盗取各类用户帐号。
例如盗取网页浏览中的cookie值:有时候我们在网页浏览中进行用户登陆,登录完毕之后服务器会返回一个cookie值(一个令牌),有了它就证明你是谁,那如果这个信息被盗用时,黑客可以通过它来登陆你的账户(document.cookie获取)
- 控制企业数据,包括读取、篡改、添加、删除企业敏感数据的能力
- 劫持流量,插入一条
<script>window.location.href="http://www..</script>就可以自动跳转网站 - 网站
最低0.47元/天 解锁文章
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
