定义
XSS攻击 -- 通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。
这些恶意网页程序通常是JavaScript,但实际上也可以包括Java、 VBScript、ActiveX、 Flash 或者甚至是普通的HTML。攻击成功后,攻击者可能得到包括但不限于更高的权限(如执行一些操作)、私密网页内容、会话和cookie等各种内容。
分类
- 反射型
- 存储型
- DOM型
应用
- Cookie 盗取
- DDOS 攻击
- XSS 蠕虫
反射型
原理:通过提交恶意代码,规避服务端验证,之后由服务端发送回客户端,并在客户端执行的方式。
存储型
原理:与反射型类似,同样是客户端提交的恶意代码,规避了服务端的验证。存储在了服务端的内存、数据库、文件等位置。需要等待合适的机会重新发送给客户端,并在客户端执行的方式~
DOM型
原理:主要利用webapi (document.location,document.URL,document.open(),window.location.href,window.navigate(),window.open 等)
XSS攻击应用
Cookie 盗取
常见的XSS攻击目的基本上是盗取用户的cookie
DDOS攻击
DDOS 分布式拒绝访问,
