Chinaunix首页 | 论坛 | 博客
  • 博客访问: 1946110
  • 博文数量: 2516
  • 博客积分: 0
  • 博客等级: 民兵
  • 技术积分: 25289
  • 用 户 组: 普通用户
  • 注册时间: 2020-11-26 14:30
个人简介

更多python、Linux、网络安全学习内容,可移步:www.oldboyedu.com或关注\"老男孩Linux\"公众号

文章分类

全部博文(2516)

文章存档

2024年(366)

2023年(643)

2022年(693)

2021年(734)

2020年(80)

我的朋友

分类: 网络与安全

2023-03-10 14:32:33

  网络安全中常见的攻击手段有很多,大致包括这些:DDoS攻击、XEE攻击、XSS攻击、CSRF攻击、SSRF攻击等。在之前的文章中小编大部分都为大家详细介绍过,那么什么是XSS攻击?其攻击原理有哪些?以下是详细的介绍。

  什么是XSS攻击?

  XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括Java、VBscript、ActiveX、 Flash或者甚至是普通的HTML。攻击成功后,攻击者可能得到包括但不限于更高的权限、私密网页内容、会话和cookie等各种内容。

  其攻击原理是什么?

  XSS主要分为:反射型XSS、存储型XSS、DOM型XSS三种攻击类型,而每种类型的攻击原理都不一样。其中反射型XSS和DOM-based型XSS可以归类为非持久型XSS攻击,存储型XSS归类为持久型XSS攻击。

  反射型XSS:攻击者可通过特定的方式来诱惑受害者去访问一个包含恶意代码的URL。当受害者点击恶意链接url的时候,恶意代码会直接在受害者的主机上的浏览器执行。

  存储型XSS:主要是将恶意代码上传或存储到服务器中,下次只要受害者浏览包含此恶意代码的页面就会执行恶意代码。

  DOM-based型XSS:客户端的脚本程序可以动态地检查和修改页面内容,而不依赖于服务器端的数据。例如客户端如从URL中提取数据并在本地执行,如果用户在客户端输入的数据包含了恶意的JavaScript脚本,而这些脚本没有经过适当的过滤和消毒,那么应用程序就可能受到DOM-based XSS攻击。需要特别注意以下的用户输入源document.URL、location.hash、location.search、document.referrer等。

阅读(153) | 评论(0) | 转发(0) |
给主人留下些什么吧!~~