前言:
网络安全攻击方式有很多种,其中包含 XSS 攻打、SQL 注入攻打、URL 篡改等。那么 XSS 攻打到底是什么?XSS 攻打有哪几种类型? 明天小编为大家解说一下。
什么是 XSS 攻打?
XSS 攻打又称为跨站脚本,XSS 的重点不在于跨站点,而是在于脚本的执行。XSS 是一种经常出现在 Web 应用程序中的计算机安全漏洞,是因为 Web 应用程序对用户的输出过滤有余而产生的,它容许歹意 web 用户将代码植入到提供给其它用户应用的页面中。
XSS 攻打有哪几种类型?
常见的 XSS 攻打有三种:反射型 XSS 攻打、DOM-based 型 XSS 攻打、存储型 XSS 攻打。
第一种:反射型 XSS 攻打
反射型 XSS 攻打个别是攻击者通过特定手法,诱使用户去拜访一个蕴含恶意代码的 URL,当受害者点击这些专门设计的链接的时候,恶意代码会间接在受害者主机上的浏览器执行。此类 XSS 攻打通常呈现在网站的搜寻栏、用户登录口等中央,罕用来窃取客户端 Cookies 或进行钓鱼坑骗
第二种:DOM-based 型 XSS 攻打
客户端的脚本程序能够动静地检查和批改页面内容,而不依赖于服务器端的数据。例如客户端如从 URL 中提取数据并在本地执行,如果用户在客户端输出的数据蕴含了歹意的 JavaScript 脚本,而这些脚本没有通过适当的过滤或者消毒,那么应用程序就可能受到 DOM-based 型 XSS 攻打。
须要特地留神以下的用户输出源 document.URL、location.hash、location.search、document.referrer 等。
第三种:存储型 XSS 攻打
攻击者当时将恶意代码上传或者贮存到破绽服务器中,只有受害者浏览蕴含此恶意代码的页面就会执行恶意代码。这意味着只有拜访了这个页面的访客,都有可能会执行这段歹意脚本,因而存储型 XSS 攻打的危害会更大。此类攻打个别呈现在网站留言、评论、博客日志等交互处,歹意脚本存储到客户端或者服务端的数据库中。