三、xss攻击类别
可以分为3类
反射存储DOM类型
1、反射型XSS
当发出请求时,URL中出现XSS代码,服务器解析并响应,最后浏览器解析并执行。 XSS 代码。
流程图:
让我们举个例子:
这是一个含有xss的网页。接下来,通过在输入框中输入js脚本代码来测试脚本是否运行。
#通常输入以下代码之一
scriptalert(/xss/)/script //提示框弹窗
scriptconfirm(\’xss\’)/script //确认框弹出窗口
scriptprompt(\’xss\’)/script //输入框弹出窗口
#这些代码简单,效果明显
点击“测试”并提交数据后,您将看到您输入的js被执行,并弹出提示框。
从URL中可以看到,输入的值被组合到URL中,作为参数传递给后端,经过钩子处理,然后返回到页面由浏览器解析。要执行的脚本。
源代码:
特点: 1.即时性。可以直接通过HTTP GET和POST请求进行攻击,获取用户的个人数据,无需经过服务器存储。 2.攻击者需要欺骗点击。修复; 4. 盗窃获取用户机密信息。
2、存储型XSS
存储型XSS(也称为持久型XSS)就是这样。将请求目标页面的XSS 代码。
过程:
让我们举个例子:
上面的公告牌有xss漏洞,所以我就把js脚本留在公告牌上贴出来。
js 脚本被执行,但此时我没有看到与反射类型有任何区别。但我关闭页面然后再打开,或者点击另一个页面然后点击返回。
可以看到js代码又被执行了,消息列表也显示出来了。当你进入一个页面时,浏览器会解析该页面,列表中的数据也会被解析。 js脚本将被执行。只要有人访问它们,Node.js 脚本就会继续运行,除非它们被删除,从而导致代码自动执行和持久化。
**特点:** 1. 持久化嵌入数据库。 2. 它具有广泛的损害,甚至可以将您的机器变成DDoS 攻击的肉鸡。 3、窃取用户敏感个人信息。
3、DOM型XSS
DOM(文档对象模型的正式名称)是一个独立于平台和语言的接口,允许程序和脚本动态访问和更新文档的内容、结构和样式。理解DOM-XSS 的一个简单方法是它确实如此。通过DOM 操作输出前端代码时出现的问题,不会与后台服务器生成数据交互。
DOM 有许多对象,其中一些对象可以由用户操作,例如URI、位置和refelTers。客户端脚本程序可以通过DOM 动态检查和修改页面的内容。它不依赖于向服务器发送数据,但如果DOM 中的数据不存在,它会从客户端检索DOM 中的数据并在本地执行。经过严格验证,产生DOM XSS漏洞。
让我们举个例子:
结合前端和源码我们可以看到,当我们点击“click me”时,我们输入的值会被js脚本代码处理后插入到ID为“dom”的标签中。可以看到只在前端完成,并没有经过服务器后端。
四、防御手段
给大家的福利
从基础零开始
对于刚接触网络安全的学生,我们创建了详细的学习和成长路线图。这可以说是最科学、最系统的学习路线。每个人都可以遵循这个大方向。
同时,还根据成长路线提供了每个部分的支持视频。
由于篇幅有限,仅包含部分信息。
#以上XSS漏洞类型原理及防御方法相关内容来源_三类XSS漏洞防护仅供参考。相关信息请参见官方公告。
原创文章,作者:CSDN,如若转载,请注明出处:https://www.sudun.com/ask/92160.html
