今天本来想发XSS犯罪历史,举几个例子提高一下大家兴趣的,结果种种原因没能写,至于原因,有兴趣的网友可以看看《一个空格引发的思考》下面言归正传说说XSS的分类:

一般说来,XSS分三类:

第一类,反射型XSS:这类XSS是临时的,不具有持久性,所以也称为非持久性XSS,早期常见的是错误页面,比如http://xxxx.error.jsp?msg=error,如果JSP中直接把msg变量写在了页面上,那么当error变成了js脚本,那么就危险了。由于反射型XSS不具有持久性,所以攻击的方式一般需要“欺骗”用户来点击,随着网络的发展,“欺骗”的确不那么容易了,所以很多人很鄙视反射型XSS,认为只有先“欺骗”用户才能攻击,但是,此类XSS配合点击劫持威力也是不容小觑的!

第二类,存储型XSS:存储型XSS指用户提交的数据被保存在了应用程序的数据库中,那么当其他用户来访问这个页面的时候,应用程序从数据库中加载数据时,已经加载了这段代码,这样的XSS攻击能力显然会吸引更多的人的关注。早期在图文并存的论坛中,由于可以上传图片,也能编辑图片的一些属性,容易受存储型XSS的攻击。

第三类,基于DOM的XSS:此类XSS类似反射型的XSS,但主要是基于DOM(document object model文档对象模型)中的document对象和window对象。

总结,今天先只谈分类,下节在周末的时候更新,主要用一些历史上用过的攻击实例来分析这三类XSS如何利用。

XSS第三节,分门别类相关推荐

  1. WampServer 搭建本地服务器及 XSS 基本原理和初步实践(一)

    目录 一.WampServer 搭建本地服务器 1.WampServer 下载安装及变小绿标 方法一:官网 方法二:中文站 问题及解决 2.访问本地服务器相关配置 1.检查是否正常搭建服务器 2.关闭 ...

  2. 安全测试之xss攻击和mysql注入

    xss概念: xss(Cross Site Script)跨站脚本攻击,为不和层叠样式表(css)混淆,写为xss 存在位置:web应用系统最常见软件安全漏洞 后果:代码植入到系统页面,篡改数据.盗取 ...

  3. jQuery.append()、jQuery.html()存在的XSS漏洞

    使用jQuery.append().jQuery.html()方法时,如果其中内容包含<script>脚本而没有经过任何处理的话,会执行它. 简单的示例代码如下: 1 var xssStr ...

  4. 跨站脚本攻击(XSS)FAQ

    原作者charlee.原始链接http://tech.idv2.com/2006/08/30/xss-faq/以及本声明. 该文章简单地介绍了XSS的基础知识及其危害和预防方法.Web开发人员的必读. ...

  5. 首次成功实施 XSS 攻击,盗取目标网站大量 VIP 帐号

    前言 之前做网站时有做代码防御 XSS(Cross Site Script) 攻击,但是却只处于了解的阶段,并不知道其中具体的原理,更别说使用了.最近有朋友要求我帮助他 Hack 一个网站,达到一定的 ...

  6. vue 如何防止xss攻击 框架_LearningNotes-1/Vue/Vue中防止XSS脚本攻击 at master · axuu/LearningNotes-1 · GitHub...

    Vue中防止XSS脚本攻击 最近写了一个博客评论模块,因为引入了表情包,所以就将原来的v-text的形式,改成了v-html,也就是渲染html标签,但是这样不可不免的会带来问题,就是XSS跨站脚本攻 ...

  7. 安全测试之XSS攻击

    XSS (跨站脚本攻击)是什么?它的全名是:Cross-site scripting,为了和CSS层叠样式表区分所以取名XSS.是一种网站应用程序的安全漏洞攻击,是代码注入的一种.它允许恶意用户将代码 ...

  8. AntiXSS - 支持Html同时防止XSS攻击

    跨站脚本攻击(XSS)已经不是什么新鲜的话题了,甚至很多大公司也为此吃尽苦头.最简单直接的防范方法,就是不允许任何html标签输入,对用户输入进行编码(htmlencode). 但是如果想用户输入支持 ...

  9. 安全攻防技能——Web安全——XSS

    XSS攻击究竟是怎么产生的?如何防护呢?

最新文章

  1. 前置体验,才是打动用户的神器
  2. 课程三、电子商务物流解决方案
  3. 基于Quartus II的在线调试方法
  4. Redis 6 RC1发布,带来众多新特性
  5. Eclipse+MyEclipse+Tomcat下配置建立Web Project
  6. 项目经理的职责 |项目经理做些什么工作
  7. eclipse配置JDK9.0.4
  8. 人力资源经理的选择(转载)
  9. LAN7500 Mac OS X Device Driver
  10. -bash: vim: 未找到命令
  11. 新浪微博与微信公众号开发总结
  12. 鲲志说:向我跌宕起伏,喜忧参半的2022致敬!
  13. Halcon算子:灰度共生矩阵gen_cooc_matrix、cooc_feature_matrix、cooc_feature_image
  14. telnet连接失败的常见错误
  15. android垃圾清理动画,[Android开发实战]金山清理大师(猎豹清理大师)一键加速快捷方式动画实现...
  16. 渠道商用假流量冒充真实用户
  17. 电脑上的各个组合及功能键作用
  18. 缘何韩国能在流行文化的竞争中如此轻松地战胜日本?
  19. java学习路线小白——架构师
  20. 平安科技另辟蹊径 基于存储构建金融云

热门文章

  1. November 2009
  2. CodeForces - 1469D - Ceil Divisions (思维+数学)
  3. HTML5 实现橡皮擦的擦除效果
  4. Java并发工具类-循环屏障CyclicBarrier
  5. html 请假条(恶搞)
  6. 迁移学习笔记2:类别总结
  7. React条件渲染、列表渲染和组件传值
  8. 鄙视链是一种怪圈现象,那么IT行业也存在鄙视链吗?
  9. 15.什么是双亲委派模型?
  10. 重装系统怎么保存原来的文件