XSS-HTML&javaSkcript&CSS&jQuery&ajax
1、設置不同的樣式列表
<style> ul.a{list-style-tyrp:circle;} ul.b{list-style-type:square;} ul.c{list-style-type:upper-roman;} ul.d{list-style-type:lower-alpha;}
</style>
<body> <ul class="a"> <li>Coffe</li> <li>Tea</li></ul> <ul class="b" ><li>Cofee</li><li>Tea</li></ul> </body>
2、腳本引擎處理
簡單的JavaScript 或者 VBScript <scritp>alert("XSS")</script>嵌入到正常的網頁當中,XSS攻擊就是將非法的JavaScript和VBScript等腳本註入到用戶的瀏覽的網頁上執行,但是web瀏覽器的本身設置是不安全的的,只是負責處理解釋執行JavaScript等腳本語言,不會判斷代碼本身對用戶的危害。
提交的表單信息進行輸出處理 <form action="XSS.php" method="POST">
請輸入賬戶: <br>
<input type="text" name=name" value="" ></input>
<input tyoe="submit" value="提交" ></input><!---and so on > 然後後面的 處理頁面就是這樣寫的
<body> <? php echo $_REQUEST[name];?></body> 直接會將賬戶名字輸出到頁面中
或者利用get觸發提交到URL網頁 <script>alert("XSS")</script>
3、反射性XSS
反射性XSS跨站腳本 Refelcted Cross -site Scriptting 非持久性 參數型跨站腳本,主要講惡意的腳本附加到URL地址參數中
但是反射性的XSS,一般黑客發動跨站腳本攻擊之前會精心的布置一切,惡意的URl暴露問題,可以通過各種編碼轉換解決。或者使用十進制,十六進制, ESCAPE等編碼形式轉換迷惑客戶。
4、持久性的XSS Persistent Cross-site Scripting 即存儲型跨站腳本 Stored Cross -site Scripting 此類CSS不需要用戶單擊 特定的URL就能執行跨站腳本,攻擊者事先將JavaScript代碼上傳或者存儲到服務器中,受害這瀏覽就會啟動。
XSS-HTML&javaSkcript&CSS&jQuery&ajax