XSS跨站指令碼初探
阿新 • • 發佈:2021-01-14
XSS初探
什麼是XSS
XSS遠稱CSS(cross site script) , 跨站指令碼攻擊。是一種經常出現在web應用中的電腦保安漏洞,它允許惡意web使用者將程式碼植入提供給其他使用者使用的頁面中。
由於Web應用程式對使用者的輸入過濾不足而產生的
攻擊者利用網站漏洞把惡意的指令碼程式碼(HTML程式碼/JavaScript指令碼)
當用戶瀏覽這些網頁時,就會執行其中的惡意程式碼
主要可以對使用者cookie資料竊取,會話劫持,釣魚欺騙等這種攻擊
跨站指令碼的分類
XSS根據其特性和利用手法的不通,主要分為三大類: 反射型跨站指令碼 持久型(儲存型)跨站指令碼 DOM型 1,反射型XSS 反射型跨站指令碼(Reflected Cross-site Scripting)也稱非永續性,反射型跨站指令碼主要用於將惡意指令碼附加到URL地址的引數中 例如:http://192.168.1.5:8080/xss/xss.php?name=<script>alert('xss')</script> 反射型攻擊原理 攻擊者將惡意連結通過各種方式傳送給受害者,誘使受害者點選連結,受害者一旦點選連結,就會攜帶這我們的惡意指令碼傳送給伺服器,伺服器執行完後,給受害者反饋的資料包中依然帶著我們的惡意指令碼,這樣,受害者就受到了XSS攻擊。 當然了,直接傳送惡意連結,受害者能夠用識別這個惡意連結,不去點選他,就不會受到惡意連結,這裡我們可以進行包裝,也就是編碼轉換,這裡就展示了。 2,永續性XSS 永續性跨站指令碼(Persistent Cross-site Scripting) ==儲存型跨站指令碼(Stored Cross-site Scripting) 此類XSS不需要使用者點選特定的URL就能執行跨站指令碼 攻擊者事先將惡意JavaScript程式碼上傳或儲存到漏洞伺服器中。 當受害者瀏覽包含此包含惡意JavaScript程式碼的頁面就會執行惡意程式碼。 3,DOM型XSS原理 客戶端的指令碼程式可以通過DOM動態的檢查和修改頁面內容 程式執行不依賴雨伺服器的資料,從客戶端獲得DOM中的資料並在本地執行。(特點:前端html頁面)