跨站脚本攻击(XSS)

XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序

XSS类型

  • 反射型XSS
    • 需要构造一个恶意URL,诱导用户访问
  • 存储型XSS
    • 数据存储在服务端,当数据被渲染到客户端的时候,恶意代码会被执行
  • DOM based XSS
    • 恶意数据注入导致dom节点被改变

XSS payload

  • 获取cookie
  • 通过生成img节点发起get请求
  • 构造from表单发起post请求
  • 伪造页面进行钓鱼
  • 浏览器及插件识别

防御

  • 使用http-only 禁止js读取cookie
  • 输入检查
  • 输出检查

results matching " "

No results matching " "

results matching " "

No results matching " "