XSS攻击又称跨站脚本攻击,脚本(Script)在我们浏览器客户端被广泛利用,目前大部分网站都利用JavaScript,用来进行打算和管理Cookie等事情。这些脚本运行在我们本地的客户端上,而不是远程做事器上。也便是运行在我们本地获取的页面中,我们举一个例子:下面的一串代码便是一个HTML文件里的JavaScript代码。(在javascript中,document.write(),常用来网页向文档中输出内容)
<html>
<head>
</head>
<body>
<script type=\"大众text/javascript\公众>
document.write(\"大众一方信安\"大众);
</script>
</body>
</html>
JavaScript脚本示例
这个Jsp的脚本代码实行效果跟一个静态HTML页面没有差异,Jsp脚本能够丰富网页内容,提升阅读网页的体验,但是天下上没有绝对安全的系统,漏洞无法避免。XSS攻击,便是一种对输入没有验证的漏洞。成功的XSS攻击,须要两个步骤:
1、攻击者提交的脚本实行语句没有被过滤或者删除
2、Web运用返回的数据没有经由编码
客户端提交的数据本来便是运用所须要的,但是XSS攻击脚本代码利用网站对客户端提交数据的信赖,在数据中插入一些符号以及javascript代码,这些代码就会成为原来运用代码的一部分。而攻击者也就可以布局不同的代码,进行恶意攻击,比如获取你带有上岸账号和密码的Cookie。
XSS跨站脚本攻击紧张有三种形式
反射式XSS
存储式XSS
基于DOM的XSS
危害:
1、盗取各种用户帐号
2、获取用户数据
3、更广泛的蠕虫传播
4、网站挂马
5、掌握受害者机器向其它网站发起攻击
有很多小伙伴比较喜好这方面的内容,想要进行深入的学习,