简介:
全称Cross Site Scripting,中文叫跨站脚本,起因是外部输入被浏览器当作脚本来执行。根据漏洞触发点不同可以分为三类:1.存储型xss 2.反射型xss 3.DOM型xss
1.存储型xss和反射型xss实例
存储型xss:
与反射型xss区别是,攻击脚本被永久地放在目标服务器的数据库和文件中。其它用户浏览时,恶意脚本会在他们的浏览器中执行,从而受到攻击。
图片发自么么1994
反射型xss:
通过修改url中的参数,浏览器执行时就会受到攻击。一般攻击者会结合csrf将修改后的url发送给目标用户,从而在客户的浏览器中执行该脚本。
图片发自么么1994
2.XSS漏洞存在的风险:
网络钓鱼,包括盗取各类用户账号;
窃取用户cookie;
窃取用户浏览器回话;
强制弹出广告页面刷流量;
网页挂马;
提升用户权限,进一步渗透网站;
传播跨站脚本蠕虫;
3.XSS漏洞的解决措施:
a.严格规定输入类型;
b.对数据进行HTML encode处理;
c.过滤或移除特殊的HTML标签;
d.增加http only 属性
注意:
存在数据流转的地方就存在风险,当你将存在xss漏洞的内容提交到服务器,别人访问你提交的信息就会受到xss攻击,从而可能泄露自己的信息。而一般没有数据流转只是自己看的存在xss漏洞则可以不用处理。
