技術標籤：xssxss

XSS初探

什麼是XSS
XSS遠稱CSS（cross site script） ， 跨站指令碼攻擊。是一種經常出現在web應用中的電腦保安漏洞，它允許惡意web使用者將程式碼植入提供給其他使用者使用的頁面中。
由於Web應用程式對使用者的輸入過濾不足而產生的
攻擊者利用網站漏洞把惡意的指令碼程式碼（HTML程式碼/JavaScript指令碼）
當用戶瀏覽這些網頁時，就會執行其中的惡意程式碼
主要可以對使用者cookie資料竊取，會話劫持，釣魚欺騙等這種攻擊

跨站指令碼的分類

XSS根據其特性和利用手法的不通，主要分為三大類：
		反射型跨站指令碼
		持久型（儲存型）跨站指令碼
		DOM型
1，反射型XSS
	反射型跨站指令碼（Reflected Cross-site Scripting）也稱非永續性，反射型跨站指令碼主要用於將惡意指令碼附加到URL地址的引數中
	例如：http://192.168.1.5:8080/xss/xss.php?name=<script>alert('xss')</script>
	反射型攻擊原理
	攻擊者將惡意連結通過各種方式傳送給受害者，誘使受害者點選連結，受害者一旦點選連結，就會攜帶這我們的惡意指令碼傳送給伺服器，伺服器執行完後，給受害者反饋的資料包中依然帶著我們的惡意指令碼，這樣，受害者就受到了XSS攻擊。
	當然了，直接傳送惡意連結，受害者能夠用識別這個惡意連結，不去點選他，就不會受到惡意連結，這裡我們可以進行包裝，也就是編碼轉換，這裡就展示了。
2，永續性XSS
	永續性跨站指令碼（Persistent Cross-site Scripting） ==儲存型跨站指令碼（Stored Cross-site Scripting）
	此類XSS不需要使用者點選特定的URL就能執行跨站指令碼
	攻擊者事先將惡意JavaScript程式碼上傳或儲存到漏洞伺服器中。
	當受害者瀏覽包含此包含惡意JavaScript程式碼的頁面就會執行惡意程式碼。
3，DOM型XSS原理
客戶端的指令碼程式可以通過DOM動態的檢查和修改頁面內容
程式執行不依賴雨伺服器的資料，從客戶端獲得DOM中的資料並在本地執行。（特點：前端html頁面）