什么是XSS攻击?XSS攻击有哪几种类型?

李志宽
• 阅读 1554

什么是XSS攻击?XSS攻击有哪几种类型?

前言:

网络安全攻击方式有很多种,其中包括XSS攻击、SQL注入攻击、URL篡改等。那么XSS攻击到底是什么?XSS攻击有哪几种类型?今天小编为大家讲解一下。   

什么是XSS攻击?

XSS攻击又称为跨站脚本,XSS的重点不在于跨站点,而是在于脚本的执行。XSS是一种经常出现在Web应用程序中的计算机安全漏洞,是由于Web应用程序对用户的输入过滤不足而产生的,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。

XSS攻击有哪几种类型?

常见的XSS攻击有三种:反射型XSS攻击、DOM-based型XSS攻击、存储型XSS攻击。

第一种:反射型XSS攻击

反射型XSS攻击一般是攻击者通过特定手法,诱使用户去访问一个包含恶意代码的URL,当受害者点击这些专门设计的链接的时候,恶意代码会直接在受害者主机上的浏览器执行。此类XSS攻击通常出现在网站的搜索栏、用户登录口等地方,常用来窃取客户端Cookies或进行钓鱼欺骗

第二种:DOM-based型XSS攻击

客户端的脚本程序可以动态地检查和修改页面内容,而不依赖于服务器端的数据。例如客户端如从URL中提取数据并在本地执行,如果用户在客户端输入的数据包含了恶意的JavaScript脚本,而这些脚本没有经过适当的过滤或者消毒,那么应用程序就可能受到DOM-based型XSS攻击。

  需要特别注意以下的用户输入源document.URL、location.hash、location.search、document.referrer等。

第三种:存储型XSS攻击

攻击者事先将恶意代码上传或者储存到漏洞服务器中,只要受害者浏览包含此恶意代码的页面就会执行恶意代码。这意味着只要访问了这个页面的访客,都有可能会执行这段恶意脚本,因此存储型XSS攻击的危害会更大。此类攻击一般出现在网站留言、评论、博客日志等交互处,恶意脚本存储到客户端或者服务端的数据库中。

点赞
收藏
评论区
推荐文章
Aimerl0 Aimerl0
3年前
网络渗透测试实验三
写在前面实验终于开始有意思起来了,Attack!网络渗透测试实验三:XSS和SQL注入实验目的了解什么是XSS了解XSS攻击实施,理解防御XSS攻击的方法了解SQL注入的基本原理掌握PHP脚本访问MySQL数据库的基本方法掌握程序设计中避免出现SQL注入漏洞的基本方法掌握网站配置。系统环境KaliLinux2、Wi
Stella981 Stella981
2年前
Spring Boot XSS 攻击过滤插件使用
XSS是什么XSS(CrossSiteScripting)攻击全称跨站脚本攻击,为了不与CSS(CascadingStyleSheets)名词混淆,故将跨站脚本攻击简称为XSS,XSS是一种常见web安全漏洞,它允许恶意代码植入到提供给其它用户使用的页面中。xss攻击流程!(https:
Stella981 Stella981
2年前
1006.Web安全攻防靶场之WebGoat – 2
概述由于上一篇文章Web安全攻防靶场之WebGoat1过长,这里分开写后面内容使用CrossSiteScripting(XSS)跨站脚本攻击,跨站脚本分为三类1\.ReflectedXSSInjection反射型xss通过一个链接产生的xss
Wesley13 Wesley13
2年前
PHP防XSS攻击
防XSS攻击什么是XSS攻击代码实例:<html<head<metahttpequiv"ContentType"content"text/html;charsetutf8"/<titleXSS原理重现</title</head<bo
可莉 可莉
2年前
1006.Web安全攻防靶场之WebGoat – 2
概述由于上一篇文章Web安全攻防靶场之WebGoat1过长,这里分开写后面内容使用CrossSiteScripting(XSS)跨站脚本攻击,跨站脚本分为三类1\.ReflectedXSSInjection反射型xss通过一个链接产生的xss
Stella981 Stella981
2年前
Django之XSS攻击
Django之XSS攻击XSS是什么:XSS是跨站脚本攻击。XSS可以获取用户的信息,比如登录凭证Cookie,那样就可以登录用户的账号,但是在django中,XSS是默认阻止的。因为在django中,a标签是字符串类型的。比如在评论中提叫script的代码,会以字符串的形式显示出来。views.
Stella981 Stella981
2年前
Django自身安全机制
XSS攻击什么是XSS攻击XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML代码和客户端脚本。攻击者利用XSS漏洞旁路掉访问控制——例如同源策略(https://www.oschina.net/action/GoT
Stella981 Stella981
2年前
HostOnly Cookie 及Js对cookie操作
HostOnlyCookie要理解HttpOnly的作用,要先弄懂XSS攻击,即跨站脚本攻击,大伙可以Google一下看看XSS到底是什么,来自wikipedia的解释:跨网站脚本(Crosssitescripting,通常简称为XSS或跨站脚本或跨站脚本攻击)是一种网站应用程序的安全漏洞攻击,是代码注入的一种。
Wesley13 Wesley13
2年前
信息安全
ylbtech信息安全攻击XSS:XSS/CSS攻击XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括Java、VBScript、ActiveX、Flash或者甚至是普通的HTML。攻击成功后
欣喜若狂 欣喜若狂
1年前
XSS攻击问题皕杰报表解决方案
XSS表示CrossSiteScripting(跨站脚本攻击),它与SQL注入攻击类似,SQL注入攻击中以SQL语句作为用户输入,从而达到查询/修改/删除数据的目的,而在XSS攻击中,通过插入恶意脚本,实现对用户游览器的控制。XSS攻击可以分成两种类型:1
李志宽
李志宽
Lv1
男 · 长沙幻音科技有限公司 · 网络安全工程师
李志宽、前百创作者、渗透测试专家、闷骚男一位、有自己的摇滚乐队
文章
89
粉丝
25
获赞
43