一、XSS攻击定义,分类及危害
1、XSS跨站脚本攻击定义
跨站脚本攻击(Cross Site Scripting)为了不和层叠样式表的缩写混淆,故将跨站脚本攻击缩写为XSS。
恶意攻击将WEB页面插入恶意Script代码,当用户浏览该网页时,嵌入其中的Web里面的Script代码将会被执行,从而打到恶意攻击用户的特殊目的。
2、XSS跨站脚本攻击危害
危害包括但不局限于:盗取管理员或普通用户的cookie,session,读取,篡改,添加或删除敏感数据;网站挂马;非法转账;控制受害者机器向其他网站发起攻击。
3、XSS脚本攻击过程
文章图片
4、XSS攻击分类 按攻击方式分类
> 反射性xss :只是简单地把用户输入的数据反射给浏览器,黑客需要诱惑用户点击链接。也叫做非持久性xss。
> 存储性xss:把用户输入的数据存储在服务端。这种xss有很强的稳定性。比较常见的一个场景是攻击者写下一篇包含恶意JavaScript代码的博客文章,文章发表后,所有访问该博客文章的用户,都会在他们的浏览器中执行这段恶意的JavaScript代码。黑客把恶意的脚本保留在服务器端。存储性XSS也叫持久性XSS.
> DOM based xss : 从效果来看也是一种反射性xss。通过修改页面的DOM节点形成xss。称为DOM Based xss。
二、XSS 攻击常见编码及绕过方式
1、XSS跨站脚本攻击常见编码
文章图片
2、XSS跨站脚本攻击绕过实例
文章图片
由于网站做了一些防护,构造的xss攻击没有生效,如图
文章图片
构造js编码方式绕过防护
文章图片
3、XSS跨站脚本攻击常用语句
【网络安全|【网络安全】XSS跨站脚本攻击专题讲解】
推荐阅读
- Web安全|网络安全--SQL注入整型报错注入
- 做题记录|kali linux 2022修改root密码
- 漏洞扫描工具(一)
- SQL注入|SQLmap的下载和安装,以及其参数大全和使用教程(值得收藏)
- 小技巧|csrf和ssrf的区别
- 信息收集|信息收集——子域名收集
- 笔记|Sa-token简单介绍和基本使用
- macos|KALI 2022-02 最新版安装教程「FOR MAC」
- 黑客技巧|nmap在kali的使用方法和常见命令(入门)