网络安全基础--第五课:跨站脚本攻击XSS - 实践
一、XSS漏洞分类及原理
XSS(Cross Site Scripting)
简单表示Web分层结构
跨站脚本攻击(Cross Site Script)是一种常见的 Web 应用程序安全漏洞,它重要是指攻击者在 Web 页面中插入恶意脚本代码,当受害者访问这些页面时,浏览器会解析并执行这些恶意代码,被用于进行窃取隐私、钓鱼欺骗、窃取 Cookie、会话劫持等攻击。
成因:对用户输入没有严格过滤;提交给服务器的脚本直接返回给其他客户端执行
JavaScript:是可插入 HTML 页面的由浏览器执行的轻量级,解释型或即时编译型的编程语言,是使用最广的客户端脚本语言。
使用场景:
直接嵌入 Html:<script>alert('Xss');</script>
元素标签事件:<bodyοnlοad=alert('xss')>
图片标签:<imgsrc="javascript:alert('xSs');">
其他标签:<iframe>, <div>, and <link>
DOM对象,篡改页面内容