XSS
XSS的学习
XSS,跨站脚本
恶意用户的HTML输入---web程序---进图数据库---web程序---用户浏览器
flow
st=>start: Start
op=>operation: Your Operation
cond=>condition: Yes or No?
e=>end
st->op->cond
cond(yes)->e
cond(no)->op
XSS的危害
挂马(自动下载等)
盗取COOKIES,(详单与盗取身份证)
DOS(拒绝服务)客户端浏览器
钓鱼攻击,(弹出谈话框,以为网站正常,去输入数据)
删除目标文章、
蠕虫式DDOS攻击()
蠕虫式挂马攻击,刷广告,刷流量
COOKIES
一个由服务器放在硬盘的非常小的文本文件,本质上就像是您的身份证明。
cookies窃取
正常用户的Html输入-->Web程序-->进入数据库-->Web程序-->用户浏览器
恶意用户的HTML输入-->web程序-->进入数据路-->正常用户访问-->调用数据库被恶意用户插入的html-->web程序-->用户浏览器-->恶意html被执行
- 反射性XSS(非持续型)
- 储存型(持久型)
- DOM XSS
反射型XSS
php?key=1
php? key=
php? key=
php? key=
储存型XSS,提交的代码会被储存(注册发表评论)
- http://www.xsssssssssss.com/joke/new/
- 注册发表评论 xss
、
DOM XSS,
XSS过滤器
