大家好,又见面了,我是你们的朋友全栈君。
反射型XSS:用户输入的恶意代码,被执行。
利用:它通过给别人发送带有恶意脚本代码参数的URL,当URL地址被打开时,特有的恶意代码参数被HTML解析、执行。它的特点是非持久化,必须用户点击带有特定参数的链接才能引起。
以前一直觉得反射型XSS危害不大,只能自己在客户端玩玩,实现弹窗。
没想到,反射型XSS的利用比存储型还更容易,存储型XSS的利用还需结合CSRF.
这篇博客很好的讲述了反射型XSS的利用。
http://netsecurity.51cto.com/art/201311/417201.htm
我们可通过发送链接,来进行利用:
- 需要一个网站,网站中有个能够收集cookie 的文件
- 需要有收集受害者cookie后将收集的cookie发送给网站中文件的js文件
- 构造链接,当用户点击该链接时,相当于执行了获取该用户的cookie并把cookie发送给收集cookie文件的操作。
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请联系我们举报,一经查实,本站将立刻删除。
发布者:全栈程序员-站长,转载请注明出处:https://javaforall.net/136469.html原文链接:https://javaforall.net
