XSS(cross site script)跨站脚本攻击

转载 (原文地址) 紫陌 教程 css3+html5 180阅读 2018-08-31 08:40:38 举报

XSS是指恶意攻击者利用网站没有对用户提交数据进行转义处理或者过滤不足的缺点,进而添加一些代码,嵌入到web页面中去。使别的用户访问都会执行相应的嵌入代码。

2.1.反射型XSS攻击

       原请求:http://www.test.com/message.php?send=Hello world!

       攻击请求:http://www.test.com/message.php?send=<script>alert('foolish')</script>!

2.2.存贮型XSS攻击

      留言板表单中的表单域:<input type=“text” name=“content” value=“这里是用户填写的数据”>

      用户是提交相应留言信息;将数据存储到数据库;其他用户访问留言板,应用去获取数据并显示。

       攻击者在value填写<script>alert(‘foolish!’)</script>,将数据存储到数据库中,其他用户取出数据显示的时候,将会执行攻击性代码。

2.3DOMBasedXSS

      通过修改页面的DOM节点形成的XSS

      受攻击的网站有一个HTML页面采用不安全的方式从document.location 或document.URL 或 document.referrer获取数据
     <HTML>
    <TITLE>Welcome!</TITLE>
       Hi
    <SCRIPT>
     var pos=document.URL.indexOf("name=")+5;
     document.write(document.URL.substring(pos,document.URL.length));
   </SCRIPT>
   <BR>
    Welcome to our system
    …
    </HTML>

    正常操作:http://www.vulnerable.site/welcome.html?name=Joe

    攻击性操作:http://www.vulnerable.site/welcome.html?name=<script>alert(document.cookie)</script>
评论 ( 0 )
最新评论
暂无评论

赶紧努力消灭 0 回复