一、常见的XSS漏洞分为存储型、反射型、DOM型三种。
(1)反射型XSS
用户在请求某条URL地址的时候,会携带一部分数据。当客户端进行访问某条链接时,攻击者可以将恶意代码植入到URL,如果服务端未对URL携带的参数做判断或者过滤处理,直接返回响应页面,那么XSS攻击代码就会一起被传输到用户的浏览器,从而触发反射型XSS。例如,当用户进行搜索时,返回结果通常会包括用户原始的搜索内容,如果攻击者精心构造包含XSS恶意代码的链接,诱导用户点击并成功执行后,用户的信息就可以被窃取,甚至可以模拟用户进行一些操作。它的利用过程如图所示。

反射型XSS不会永久存储用户的数据,仅发生在用户的一次访问过程之后。这个过程就像一次反射,因此得名反射型XSS。反射型XSS的触发条件比较苛刻,需要攻击者想方设法引导用户点击链接,但产生的危害不容忽视。

(2)存储型XSS
存储型XSS又叫持久型。一般而言,它三种XSS里危害最大的一种。此类型的XSS漏洞是由于恶意攻击代码被持久化保存到服务器上,然后被显示到HTML页面之中。这类漏洞经常出现在用户评论的页面,攻击者精心构造XSS代码,保存到数据库中,当其他用户再次访问这个页面时,就会触发并执行恶意的XSS代码,从而窃取用户的敏感信息。它的利用过程如图所示。

XSS漏洞分类及危害相关推荐

  1. 【XSS漏洞-01】XSS漏洞简介、危害与分类及验证

    目录 1 XSS漏洞简介 2 XSS漏洞危害 3 XSS漏洞分类 3.1 反射型XSS 3.2 存储型XSS 3.3 DOM型XSS 3.3.1 节点树模型 3.3.2 DOM型XSS 4 漏洞验证 ...

  2. 简述xss漏洞原理及危害?xss漏洞有哪些类型?xss漏洞哪个类型危害最大?如何防御xss漏洞

    Xss漏洞原理:服务器对用户提交的数据过滤不严,导致浏览器把用户的输入当成了JS代码并直接返回给客户端执行,从而实现对客户端的攻击目的. 危害: 1.窃取用户Cookie 2.后台增删改文章 3.XS ...

  3. web漏洞-xss漏洞

    web漏洞-xss漏洞 文章目录 web漏洞-xss漏洞 前言 xss介绍 什么是xss xss漏洞产生原因 xss漏洞危害 xss漏洞分类 反射型xss 存储型xss DOM型xss xss漏洞防护 ...

  4. ctfshow XSS漏洞web316-328

    XSS漏洞 漏洞简介: XSS(Cross Site Scripting)意为跨站脚本攻击.为了不与层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写 ...

  5. XSS漏洞及其原理(详解)

    文章目录 前言 一.XSS漏洞原理 1.概述 2.利用方式 3.执行方式 4.攻击对象 5.XSS危害 (1)窃取cookie (2)未授权操作 (3)传播蠕虫病毒 6.简单代码 7.XSS验证 8. ...

  6. XSS漏洞原理和利用

    XSS漏洞原理和利用 XSS漏洞的危害 1.窃取用户Cookie,如果用户Cookie被窃取,攻击者可以不通过密码,而直接登录用户账户 2.使用XMLHttpRequest构造模拟用户请求操作 3.X ...

  7. 网站安全之XSS漏洞攻击以及防范措施

    在网站开发中,安全问题是重中之重的问题,特别像一个sql注入,XSS漏洞攻击,等的防范,如果不做好,网站将存在很大的隐患 XSS漏洞是网站漏洞中最容易出现的一种,至少现在的各大网站中基本都存在,传闻只 ...

  8. 基于网络爬虫的XSS漏洞检测技术

    1. 背景和意义 在早期的网站设计中,网页的存在形式都是静态的.静态的网页内容稳定,不会经常更新,但是在后期却不易维护.如果需要维护更新网页,则必须重新编辑HTML网页,因此当网站很庞大的时候,维护静 ...

  9. XSS漏洞原理、分类、危害及防御

    一.XSS简介 XSS全称:跨站脚本(Cross Site Scripting) ,为了不和层叠样式表(Cascading Style Sheets)的缩写CSS混合,所以改名为XSS:攻击者会向we ...

最新文章

  1. 编译安装_在Centos7下编译安装新版本内核
  2. 第二篇:salt-api使用填坑指南
  3. 手动配置mysql_手动配置Mysql,无需安装的方法以及Mysql的一些基本命令
  4. font awesome java_Android使用Font Awesome显示小图标(一)
  5. spring cloud config动态刷新_SpringCloud-Config
  6. 2017蓝桥杯省赛---java---B---1(购物单)
  7. 蓝牙模块智能灯控应用方案
  8. [vue] 怎么在watch监听开始之后立即被调用?
  9. class触发后让另一个class加样式_Bootstrap的按钮组样式
  10. java中的List排序[转]
  11. 网络工程师HCIE-RS-ipv6第一节:IPv6地址(原理+实验)
  12. vscode推荐编程字体
  13. 解决支持库版本兼容问题
  14. day09渗透简单测试流程以及PKI实验
  15. Android实现税博客,Android个人所得税计算器
  16. “暗云”BootKit木马详细技术分析
  17. android nfc扇区加密,uniapp安卓NFC MifareClassic读IC卡加密扇区方法
  18. mysql内存参数及最大内存
  19. 如何编写firefox插件
  20. 解决Word文章表格中无法自动换页的问题,表格结尾处像是被下一页覆盖掉了

热门文章

  1. C语言答案刘韶涛,C语言程序设计学习指导与上机实践
  2. 一些写英文简历的词汇吧
  3. 机器人抓取平台搭建记录(二):KINOVA Gen2的控制--手柄控制
  4. 2014年艺龙网校园招聘笔试总结
  5. 一些高尔夫模拟器的比较:TruGolf、Foresight GC2、Visual Sports
  6. [转载] 周富裕-“鸭脖子”们的资本春天
  7. IT龙门阵161期预告:金山办公软件副总裁章庆元谈WPS的互联网
  8. PDF在线转PPT,不用下载软件网页在线即可转换!
  9. 读民办大学的计算机科学与技术好就业吗,找工作起薪高的十大本科专业,计算机科学与技术仅排第六!...
  10. 【系统迁移:笔记本更换硬盘,不重装系统方法】