知识点:XSS
来源:互联网 发布:java大数据量并发处理 编辑:程序博客网 时间:2024/06/05 22:40
XSS
Cross-site scripting (XSS)是一种安全漏洞,攻击者利用这种漏洞在网站上注入恶意的客户端代码。当被攻击者登陆网站或者点击链接时就会自动运行这些恶意代码,从而,攻击者可以获取cookie、session等敏感信息,或者让恶意脚本重写html内容。
如果web应用程序没有部署足够的安全验证,那么,这些攻击很容易成功。浏览器无法探测到这些恶意脚本是不可信的。
恶意内容一般包括javascript,但是,有时候也会包括html,flash。XSS攻击的形式千差万别,但是,它们的共同点为:将一些隐私数据像cookie、session发送给攻击者,将受害者重定向到一个由攻击者控制的网站,在受害者的机器上进行一些恶意操作。
XSS攻击可以分为3类:存储型、反射型、基于DOM。
存储型
注入型脚本永久存储在目标服务器上。当浏览器请求数据时,脚本从服务器上传回并执行。
保存型需要向服务器提出至少两次请求,第一次将含有恶意代码的数据提交给服务器,服务器将数据保存,第二次是受害者想服务器提出访问含有恶意代码数据的页面,恶意代码执行。
反射型
将用户输入的存在XSS攻击的数据,发送给后台,后台并未对数据进行存储,也未经过任何过滤和转义,直接返回给客户端被浏览器渲染。就可能导致XSS攻击;
基于DOM
被执行的恶意脚本会修改页面脚本结构。
0 0
- 知识点:XSS
- 先知XSS挑战赛 知识点提要
- XSS
- xss
- xss
- xss
- xss
- xss
- xss
- XSS
- XSS
- XSS
- xss
- xss
- XSS
- xss
- XSS
- xss
- oj1946: C语言实验——单个字符输入和输出(顺序结构)
- 基于stm32f407的无线视屏传输项目
- Promise概念和常用api
- 【MyBatis】延迟加载
- 行人检测论文笔记:How Far are We from Solving Pedestrian Detection?
- 知识点:XSS
- 简单计算器,四则运算,小括号,实数,剔除空格,封装calculator类
- build 中的配置说明
- Linux文件操作符和文件指针的区别
- Linux安装Apache 2.4 + PHP 7 + Mysql笔记
- 火狐浏览器下burpsuite 抓取https数据包----记录一下可笑的配置过程
- 有关Android Studio里一些单位的介绍
- Ajax和Comet相关技术总结
- iOS开发总结-Xcode常见错误