跨站点脚本是一种客户端攻击,黑客将恶意代码注入易受攻击的 Web 应用程序或网站。这种攻击会对企业及其客户造成巨大的损害,后果可能包括-密码窃取、重定向到恶意站点、页面内容修改等。如果攻击者获得了经过身份验证的用户的会话cookie,他就可以冒充自己已验证用户并代表已验证用户继续执行任务。XSS 漏洞已被用于创建社交网络蠕虫、传播恶意软件、破坏网站和网络钓鱼以获取凭据。
跨站点脚本有两种类型:
读者注意!现在不要停止学习。以学生友好的价格掌握所有重要的 CS 理论概念,以便 SDE 面试与CS 理论课程,并为行业做好准备。
存储的 XSS。
反射型 XSS。
1.存储型XSS:黑客直接将恶意代码注入数据库或服务器的漏洞。在这里,应用程序或网站从未经授权的来源接收恶意数据或代码,并将其存储在系统中而不进行检查。当受害者在浏览器中打开受影响的网页时,XSS 攻击代码作为 HTML 代码的一部分显示给受害者的浏览器(就像合法的评论一样)。因此,一旦在浏览器中查看页面,受害者最终将执行恶意脚本。
2.反射型XSS:该漏洞允许黑客以HTML代码的形式将恶意代码注入受害者的浏览器。用户只有在点击代码时才会感染代码。与存储型 XSS 相比,反射型 XSS 的危险性较小,因为恶意内容不会永久存储在数据库/服务器中。攻击者可以通过多种方式诱使受害用户发出他们控制的请求,以进行反射型 XSS 攻击。这些包括在攻击者控制的网站上放置链接,或通过在电子邮件、推文或广告弹出窗口中发送链接。
存储型 XSS | 反射型 XSS |
---|---|
也称为永久 XSS。 | 也称为临时 XSS。 |
恶意代码存储在应用程序中。 | 恶意代码不会存储在应用程序中。 |
对 Web 应用程序或网站造成更大的损害。 | 对 Web 应用程序或网站造成的损害较小。 |
针对使用 Web 应用程序或网站的所有用户。 | 针对使用 Web 应用程序或网站的少数用户。 |
当受害者访问受感染的网页时,恶意代码就会被激活。 | 单击链接后会激活恶意代码。 |
更难发挥。 | 更容易执行。 |
Host List
hot news