一、XSS漏洞简介
XSS(Cross Site Script)即跨站脚本,攻击者通过在目标网站上注入恶意脚本,使之在用户的浏览器上运行。利用这些恶意脚本,攻击者可获取用户的敏感信息如 Cookie、SessionID等。总而言之,前端能做的事情它都能做到。XSS可分为反射型,存储型和DOM型。
二、XSS分类
三、XSS漏洞利用
1.Cookie劫持
- 1.用户登录
- 2.攻击者欺骗用户访问带XSS payload的URL
- 3.用户请求攻击者的URL
- 4.在用户浏览器执行远程js,将cookie发送给攻击者
- 5.攻击者利用cookie进入用户账号
2.构造GET与POST请求
3.钓鱼
4.识别浏览器及插件
四、XSS的防御
五、Self XSS
Self XSS指的是用户自己输入XSS payload,且输出仅自己可见的XSS问题,通常单独的Self XSS是不可利用的,但通过CSRF(跨站请求伪造)、点击劫持等组合攻击就可能把Self XSS利用起来。所以即使是Self XSS也建议做好修复,避免被组合利用造成危害。
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请联系我们举报,一经查实,本站将立刻删除。
发布者:全栈程序员-站长,转载请注明出处:https://javaforall.net/227823.html原文链接:https://javaforall.net
