Web安全之XSS 入门与介绍
2024-09-06 07:49:10
XSS的入门与介绍
跨站攻击
XSS全称跨站脚本(Cross Site Scripting),一种注入式攻击方式。
XSS成因
对于用户输入没有严格控制而直接输出到页面
对非预期输入的信任
XSS的危害
盗取各类用户账号,如机器登录账号,用户网银账号,各类管理员账号
窃取数据
非法转账
挂马
XSS 实例
XSS的分类
常规的XSS分类
存储型(持久型)
反射型(非持久型)
DOM型
其实DOM型也属于反射型的一种,不过比较特殊,所以一般也当做单独类
这个是我对掘金进行的DOM型XSS操作的实例
其他XSS类别
mXSS (突变型XSS)
UXSS(通用型XSS)
FlashXSS
UTF-7 XSS
MHTMLXSS
CSSXSS
VBScript XSS
XSS盲打平台与蠕虫
XSS盲打是指攻击者对数据提交后展现的后台未知情况下的一种XSS攻击方式。
XSS盲打平台就是为这种方式提供基本平台功能
XSS蠕虫
Samy蠕虫
2005年10月14日,蠕虫在世界最流行的社交网站MySpace.com上传播,更改 了超过
一百万个人用户个人资料页面。
XSS蠕虫的原理
利用XSS实现某些操作,比如微博关注用户
实现某些操作的同时,触发蠕虫代码复制和传播
推荐书籍《XSS蠕虫&病毒--即将发生的威胁与最好的防御》
本文看自Web安全之WXSS 入门与介绍视频
最新文章
- ActiveMQ与spring集成实现Queue模式
- c#延迟加载
- dubbo配置
- linux下log4j乱码解决
- 【python】pathlib库
- Mysql ERROR 1418 (HY000): This function has none of DETERMINISTIC, NO SQL, or READS SQL DATA
- SVN中文件属性
- 7zip 命令行
- KEIL段协定
- 百度之星2017初赛A轮 1001 小C的倍数问题
- BZOJ 4569: [Scoi2016]萌萌哒 [并查集 倍增]
- zabbix自动发现华为,H3C交换机
- go网络编程应用
- [Python设计模式] 第22章 手机型号&软件版本——桥接模式
- FasterRCNN 提升分类精度(转)
- SqlServer 更改数据库名称
- Android悬浮窗及其拖动事件
- 2.6、CDH 搭建Hadoop在安装(安装CDH和其他软件)
- PAT甲题题解-1031. Hello World for U (20)-字符串处理,水
- nginx配置伪静态