2022-01-07 反射型跨站脚本XSS Reflected
跨站脚本攻击(Cross Site Scripting)缩写为CSS),但是这与浏览器的层叠样式表css会混淆,所以人们把跨站脚本攻击缩写为xss。
反射型XSS,所谓反射,就像镜子一样,一束光发过去,立即弹回来。
反射型XSS攻击,又叫非持久性跨站脚本攻击。每次执行需要用户的点击。
xss原理:其原理是攻击者向有XSS漏洞的网站中输入(传入)恶意的HTML代码,当用户浏览该网站时,这段HTML代码会自动执行,从而达到攻击的目的。
注入的本质就是:把用户的输入的数据当作代码执行。
xss注入的关键:
1、第一个是用户能够控制输入
2、原本程序要执行的代码,拼接了用户输入的数据
sql注入拼接的是操作数据库的sql语句。xss拼接的是网页的html代码。我们一般会拼接出合适的html代码去执行恶意的js语句。
xss的危害:
盗取cooike,获取内网ip,利用用户身份进行某种动作,网站挂马,肉鸡抓取,强制发送邮件,非法转账,添加删除企业敏感数据。
应为达到各种各样的效果需要比较复杂的代码。
xss平台:{undefinedxsspt.com}
xss平台大大方便了xss攻击,只需要引入一个平台就可以实现功能。
本文来自博客园,作者:{admin-xiaoli},转载请注明原文链接:{https://www.cnblogs.com/crackerroot}