Xss跨站脚本攻击

xss:攻击者在页面中插入恶意脚本代码，当浏览这些页面时，浏览器解析并执行恶意代码，从而窃取用户身份、钓鱼、传播恶意代码、和控制用户浏览器行为。

Xss漏洞产生的原因:

1.web程序对用户输入过滤不足，用户输入的恶意代码注入到网页中，其他用户浏览时，浏览器出发恶意代码的网页，达到xss。

Xss分类:

反射型(非持久性)

通过在页面上植入恶意链接，诱使用户点击，执行js脚本，所谓反射型XSS就是将用户输入的数据（恶意用户输入的js脚本），“反射”到浏览器执行。

存储型(持久性)

用户输入的数据（恶意代码）可以“存储”在服务端，只要有人访问这个包含有存储型XSS代码的页面，XSS脚本就会在他们的浏览器中执

DOM型

通过更改DOM树的反射型xss。

 

xss危害:

1.窃取管理员帐号或Cookie，入侵者可以冒充管理员的身份登录后台。

2.窃取用户的个人信息或者登录帐号

3.钓鱼挂马

xss绕过:

过滤敏感字符<script>'

大小写转换绕过

闭合标签

hex编码绕过

html编码

url编码