XSS(一)
02-03
前置:同源策略(同域同埠):www.baidu.comhttp://www.baidu.com:8080www.baidu.com/1234/
推薦閱讀:
http://leju.baidu.com
下面3個和第一個做對比:第二個同域不同埠第三個同域同埠(相對於第一個而言符合同源策略)第四個不同域所以下面3個只有第3個相對於第一個而言是符合同源策略的1.xss簡介: 1.XSS是跨站腳本攻擊 2.XSS是一種【面向用戶】的攻擊方式!!! 3.產生的原因是:1.輸入處過濾不嚴格
2.輸出處過濾不嚴格 4.XSS在同的瀏覽器下執行的效果不同!2.攻擊代碼有:1.HTML代碼
2.CSS代碼
3.js(javascript)
dom(操作html節點)和bom(操作瀏覽器)
4.vbs(vbscript)
5.flash(製作動畫)
3.攻擊過程:
1.輸入處一般很少對XSS進行防護!
2.開發人員沒安全意識,過於注重服務端的安全!!5.XSS的危害: 注意: XSS專門對大型網站 進行攻擊的一種攻擊手法(因為小網站不注重防護,並且註冊用戶很少) 1.釣魚(location.href="http://www.wsxuan.top") 2.竊取cookie(一種會話) 3.劫持瀏覽器(beef可以) 4.彈廣告,刷流量 5.掛馬(網馬)6.ddos
7.惡意篡改網頁(dom(document.getelmentbyid(」1314「).Htmlxxxxx=」xxxx「)) 8.獲取用戶客戶端信息(1.瀏覽器類型 2.真實ip 等等) 9.蠕蟲(XSS+ajax)6.XSS類型: 1.反射型(淺層次的挖掘)
瀏覽器對dom型和持久性XSS不進行攔截,說白了就是這兩個危害比反射型大!
推薦閱讀:
※XSS 攻擊有哪些黑魔法?
※XSS.TV挑戰賽(一)
※淺析圖片XSS中的哪些技術問題
※XSS常見攻擊與防禦
※白帽子挖洞—跨站腳本攻擊(XSS)篇