010-64126691
行業(yè)知識
2021-12-21 
一鍵分享
XSS又稱為CSS,全稱為Cross-site script,跨站腳本攻擊,為了和CSS層疊樣式表區(qū)分所以取名為XSS,是Web程序中常見的漏洞。
原理:
攻擊者向有 XSS 漏洞的網(wǎng)站中輸入惡意的 HTML 代碼,當(dāng)其它用戶瀏覽該網(wǎng)站時候,該段 HTML 代碼會自動執(zhí)行,從而達(dá)到攻擊的目的,如盜取用戶的 Cookie,破壞頁面結(jié)構(gòu),重定向到其它網(wǎng)站等。
XSS 類型:
一般可以分為: 持久型 XSS 和非持久性 XSS
1、持久型 XSS 就是對客戶端攻擊的腳本植入到服務(wù)器上,從而導(dǎo)致每個正常訪問到的用戶都會遭到這段 XSS 腳本的攻擊。(如上述的留言評論功能)
2、非持久型 XSS 是對一個頁面的 URL 中的某個參數(shù)做文章,把精心構(gòu)造好的惡意腳本包裝在 URL 參數(shù)重,再將這個 URL 發(fā)布到網(wǎng)上,騙取用戶訪問,從而進(jìn)行攻擊非持久性 XSS 的安全威脅比較小,因?yàn)橹灰?wù)器調(diào)整業(yè)務(wù)代碼進(jìn)行過濾,黑客精心構(gòu)造的這段 URL 就會瞬間失效了,而相比之下,持久型 XSS 的攻擊影響力很大,有時候服務(wù)端需要刪好幾張表,查詢很多庫才能將惡意代碼的數(shù)據(jù)進(jìn)行刪除。
