一、什么是XSS
1. 基本知识
1.1 定义:
恶意攻击者往Web页面插入恶意类html代码(js等各种脚本),当用户浏览该页面时,插入的代码被执行,从而达到恶意用户的特殊目的。
1.2 触发条件
- 绕过各种过滤和转码编译
对尖括号<> 单引号 ’ 双引号 “” 特殊js危险函数的过滤,绕过方式后续
- 构造完整闭合的脚本标记语言
前后封闭,脚本完整,html能识别执行。
- 引诱目标合理触发该页面的脚本
onclick onmouseover onload…后续。可结合使目标无意中访问恶意连接,触发脚本。详见后续
1.3 XSS种类
- 反射型XSS:非持久型,参数型的跨站脚本。
- 存储型XSS:将脚本代码写进数据库可以永久保存数据,危害最大。
- dom型XSS:与反射性相似,但是DOM是树形结构,利用DOM标签。
1.4 如何插入恶意脚本
- 直接写入完整脚本 (现已很
订阅专栏 解锁全文
1541

被折叠的 条评论
为什么被折叠?



