二,、xss的分類
xss根據(jù)其特性和利用方式可以分為三大類:反射型xss,,存儲型xss,DOM型xss
1,、反射型xss
反射型xss一般出現(xiàn)在URL參數(shù)中及網(wǎng)站搜索欄中,,由于需要點擊包含惡意代碼的URL才可以觸發(fā),并且只能觸發(fā)一次,,所以也被稱為“非持久性xss”,。
2、存儲型xss
存儲型xss一出現(xiàn)在網(wǎng)站留言板,,評論處,,個人資料處,等需要用戶可以對網(wǎng)站寫入數(shù)據(jù)的地方,。比如一個論壇評論處由于對用戶輸入過濾不嚴格,,導致攻擊者在寫入一段竊取cookie的惡意JavaScript代碼到評論處,這段惡意代碼會寫入數(shù)據(jù)庫,,當其他用戶瀏覽這個寫入代碼的頁面時,,網(wǎng)站從數(shù)據(jù)庫中讀取惡意代碼顯示到網(wǎng)頁中被瀏覽器執(zhí)行,導致用戶cookie被竊取,,攻擊者無需受害者密碼即可登錄賬戶,。所以也被稱作“持久性xss”。持久性xss比反射型xss危害要大的多,。
3,、dom型xss
DOM xss是基于dom文檔對象模型,前端腳本通過dom動態(tài)修改頁面,,由于不與服務端進行交互,,而且代碼是可見的,從前端獲取dom中的數(shù)據(jù)在本地執(zhí)行,。
常見的可以操縱dom的對象:URL,,localtion,referrer等
滬公網(wǎng)安備 31011502006611號
