【网络安全】XSS跨站脚本攻击专题讲解
一、XSS攻击定义,分类及危害
1、XSS跨站脚本攻击定义
跨站脚本攻击(Cross Site Scripting)为了不和层叠样式表的缩写混淆,故将跨站脚本攻击缩写为XSS。
恶意攻击将WEB页面插入恶意Script代码,当用户浏览该网页时,嵌入其中的Web里面的Script代码将会被执行,从而打到恶意攻击用户的特殊目的。
2、XSS跨站脚本攻击危害
危害包括但不局限于:盗取管理员或普通用户的cookie,session,读取,篡改,添加或删除敏感数据;网站挂马;非法转账;控制受害者机器向其他网站发起攻击。
3、XSS脚本攻击过程
4、XSS攻击分类
按攻击方式分类
> 反射性xss :只是简单地把用户输入的数据反射给浏览器,黑客需要诱惑用户点击链接。也叫做非持久性xss。
> 存储性xss:把用户输入的数据存储在服务端。这种xss有很强的稳定性。比较常见的一个场景是攻击者写下一篇包含恶意JavaScript代码的博客文章,文章发表后,所有访问该博客文章的用户,都会在他们的浏览器中执行这段恶意的JavaScript代码。黑客把恶意的脚本保留在服务器端。存储性XSS也叫持久性XSS.
> DOM based xss : 从效果来看也是一种反射性xss。通过修改页面的DOM节点形成xss。称为DOM Based xss。
二、XSS 攻击常见编码及绕过方式
1、XSS跨站脚本攻击常见编码
2、XSS跨站脚本攻击绕过实例
由于网站做了一些防护,构造的xss攻击没有生效,如图
构造js编码方式绕过防护
3、XSS跨站脚本攻击常用语句
