xss基本的概念和原理

1. 跨站脚本漏洞的概述 -xss（窃取cookie）攻击流程

 

 

xss的常见的漏洞类型

1.反射型：

2.存储型

3.dom型

 

xss形成的原因‘

就是程序的输入和输出不够严格，导致脚本输入后，在输到前端时被游览器当成有效代码解析在执行从而产生危害

 

 

 查找 输出的东西用ctrl+f

 

存储型xss

就是和反射性不不同的是反射型是一次性的，但存储型是持久型的，一般在留言板

 

 

dom型xss：都是在前端的

dom是访问HTML的编程接口

dom xss-x和反射型一样都是从gei获取的，

 

xss漏洞测试;cookie获取和钓鱼攻击

1.xss 获取cookie

get

 

xss钓鱼攻击

就是先在存储型xss 上嵌入js代码 ，代码有自己终端的链接当用户点击链接提示输入密码和账号就会把账号和密码发送给自己的服务器，这样实现了钓鱼网址

xss 键盘记录

 

xss盲打

就是提交是信息不能被看到，但可以写js代码，当管理员登录时就会被攻击，存储型

xss绕过

 

 编码：转换成HTML的编码

 

 xss 绕过 HTML specialchars