网站被黑 禁止js跳转,零基础培训网页设计,内部网站的作用,北京房产网官网简介
XSS全称为Cross Site Scripting#xff0c;为了和CSS分开简写为XSS#xff0c;中文名为跨站脚本。该漏洞发生在用户端#xff0c;是指在渲染过程中发生了不在预期过程中的JavaScript代码执行。XSS通常被用于获取Cookie、以受攻击者的身份进行操作等行为。
反射型XSS …
简介
XSS全称为Cross Site Scripting为了和CSS分开简写为XSS中文名为跨站脚本。该漏洞发生在用户端是指在渲染过程中发生了不在预期过程中的JavaScript代码执行。XSS通常被用于获取Cookie、以受攻击者的身份进行操作等行为。
反射型XSS
反射型XSS是比较常见和广泛的一类举例来说当一个网站的代码中包含类似下面的语句?php echo phello, $_GET[user]/p;? 那么在访问时设置 /?user/pscriptalert(hack)/scriptp 则可执行预设好的JavaScript代码。
反射型XSS通常出现在搜索等功能中需要被攻击者点击对应的链接才能触发且受到XSS Auditor、NoScript等防御手段的影响较大。
储存型XSS
储存型XSS相比反射型来说危害较大在这种漏洞中攻击者能够把攻击载荷存入服务器的数据库中造成持久化的攻击。
DOM XSS
DOM型XSS不同之处在于DOM型XSS一般和服务器的解析响应没有直接关系而是在JavaScript脚本动态执行的过程中产生的。
例如
html
head
titleDOM Based XSS Demo/title
script
function xsstest()
{var str document.getElementById(input).value;document.getElementById(output).innerHTML img srcstr/img;
}
/script
/head
body
div idoutput/div
input typetext idinput size50 value /
input typebutton valuesubmit οnclickxsstest() /
/body
/html输入 x onerrorjavascript:alert(/xss/) 即可触发。
Blind XSS
Blind XSS是储存型XSS的一种它保存在某些存储中当一个“受害者”访问这个页面时执行并且在文档对象模型(DOM)中呈现payload。 它被称为Blind的原因是因为它通常发生在通常不暴露给用户的功能上。
