XSS漏洞分类及危害
一、常见的XSS漏洞分为存储型、反射型、DOM型三种。
(1)反射型XSS
用户在请求某条URL地址的时候,会携带一部分数据。当客户端进行访问某条链接时,攻击者可以将恶意代码植入到URL,如果服务端未对URL携带的参数做判断或者过滤处理,直接返回响应页面,那么XSS攻击代码就会一起被传输到用户的浏览器,从而触发反射型XSS。例如,当用户进行搜索时,返回结果通常会包括用户原始的搜索内容,如果攻击者精心构造包含XSS恶意代码的链接,诱导用户点击并成功执行后,用户的信息就可以被窃取,甚至可以模拟用户进行一些操作。它的利用过程如图所示。
反射型XSS不会永久存储用户的数据,仅发生在用户的一次访问过程之后。这个过程就像一次反射,因此得名反射型XSS。反射型XSS的触发条件比较苛刻,需要攻击者想方设法引导用户点击链接,但产生的危害不容忽视。
(2)存储型XSS
存储型XSS又叫持久型。一般而言,它三种XSS里危害最大的一种。此类型的XSS漏洞是由于恶意攻击代码被持久化保存到服务器上,然后被显示到HTML页面之中。这类漏洞经常出现在用户评论的页面,攻击者精心构造XSS代码,保存到数据库中,当其他用户再次访问这个页面时,就会触发并执行恶意的XSS代码,从而窃取用户的敏感信息。它的利用过程如图所示。
XSS漏洞分类及危害相关推荐
- 【XSS漏洞-01】XSS漏洞简介、危害与分类及验证
目录 1 XSS漏洞简介 2 XSS漏洞危害 3 XSS漏洞分类 3.1 反射型XSS 3.2 存储型XSS 3.3 DOM型XSS 3.3.1 节点树模型 3.3.2 DOM型XSS 4 漏洞验证 ...
- 简述xss漏洞原理及危害?xss漏洞有哪些类型?xss漏洞哪个类型危害最大?如何防御xss漏洞
Xss漏洞原理:服务器对用户提交的数据过滤不严,导致浏览器把用户的输入当成了JS代码并直接返回给客户端执行,从而实现对客户端的攻击目的. 危害: 1.窃取用户Cookie 2.后台增删改文章 3.XS ...
- web漏洞-xss漏洞
web漏洞-xss漏洞 文章目录 web漏洞-xss漏洞 前言 xss介绍 什么是xss xss漏洞产生原因 xss漏洞危害 xss漏洞分类 反射型xss 存储型xss DOM型xss xss漏洞防护 ...
- ctfshow XSS漏洞web316-328
XSS漏洞 漏洞简介: XSS(Cross Site Scripting)意为跨站脚本攻击.为了不与层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写 ...
- XSS漏洞及其原理(详解)
文章目录 前言 一.XSS漏洞原理 1.概述 2.利用方式 3.执行方式 4.攻击对象 5.XSS危害 (1)窃取cookie (2)未授权操作 (3)传播蠕虫病毒 6.简单代码 7.XSS验证 8. ...
- XSS漏洞原理和利用
XSS漏洞原理和利用 XSS漏洞的危害 1.窃取用户Cookie,如果用户Cookie被窃取,攻击者可以不通过密码,而直接登录用户账户 2.使用XMLHttpRequest构造模拟用户请求操作 3.X ...
- 网站安全之XSS漏洞攻击以及防范措施
在网站开发中,安全问题是重中之重的问题,特别像一个sql注入,XSS漏洞攻击,等的防范,如果不做好,网站将存在很大的隐患 XSS漏洞是网站漏洞中最容易出现的一种,至少现在的各大网站中基本都存在,传闻只 ...
- 基于网络爬虫的XSS漏洞检测技术
1. 背景和意义 在早期的网站设计中,网页的存在形式都是静态的.静态的网页内容稳定,不会经常更新,但是在后期却不易维护.如果需要维护更新网页,则必须重新编辑HTML网页,因此当网站很庞大的时候,维护静 ...
- XSS漏洞原理、分类、危害及防御
一.XSS简介 XSS全称:跨站脚本(Cross Site Scripting) ,为了不和层叠样式表(Cascading Style Sheets)的缩写CSS混合,所以改名为XSS:攻击者会向we ...
最新文章
- 编译安装_在Centos7下编译安装新版本内核
- 第二篇:salt-api使用填坑指南
- 手动配置mysql_手动配置Mysql,无需安装的方法以及Mysql的一些基本命令
- font awesome java_Android使用Font Awesome显示小图标(一)
- spring cloud config动态刷新_SpringCloud-Config
- 2017蓝桥杯省赛---java---B---1(购物单)
- 蓝牙模块智能灯控应用方案
- [vue] 怎么在watch监听开始之后立即被调用?
- class触发后让另一个class加样式_Bootstrap的按钮组样式
- java中的List排序[转]
- 网络工程师HCIE-RS-ipv6第一节:IPv6地址(原理+实验)
- vscode推荐编程字体
- 解决支持库版本兼容问题
- day09渗透简单测试流程以及PKI实验
- Android实现税博客,Android个人所得税计算器
- “暗云”BootKit木马详细技术分析
- android nfc扇区加密,uniapp安卓NFC MifareClassic读IC卡加密扇区方法
- mysql内存参数及最大内存
- 如何编写firefox插件
- 解决Word文章表格中无法自动换页的问题,表格结尾处像是被下一页覆盖掉了
热门文章
- C语言答案刘韶涛,C语言程序设计学习指导与上机实践
- 一些写英文简历的词汇吧
- 机器人抓取平台搭建记录(二):KINOVA Gen2的控制--手柄控制
- 2014年艺龙网校园招聘笔试总结
- 一些高尔夫模拟器的比较:TruGolf、Foresight GC2、Visual Sports
- [转载] 周富裕-“鸭脖子”们的资本春天
- IT龙门阵161期预告:金山办公软件副总裁章庆元谈WPS的互联网
- PDF在线转PPT,不用下载软件网页在线即可转换!
- 读民办大学的计算机科学与技术好就业吗,找工作起薪高的十大本科专业,计算机科学与技术仅排第六!...
- 【系统迁移:笔记本更换硬盘,不重装系统方法】