首頁 > 運維 > 安全 > XSS攻擊的原理是什麼

XSS攻擊的原理是什麼

王林
發布: 2020-06-13 17:55:27
轉載
4745 人瀏覽過

XSS攻擊的原理是什麼

XSS又稱為CSS,全稱為Cross-site script,跨站腳本攻擊,為了和CSS層疊樣式表區分所以取名為XSS,是Web程式中常見的漏洞。

原理:

攻擊者向有XSS 漏洞的網站中輸入惡意的HTML 程式碼,當其它使用者瀏覽該網站時候,該段HTML 程式碼會自動執行,從而達到攻擊的目的,如盜取使用者的Cookie,破壞頁面結構,重定向到其它網站等。

例如:某論壇的評論功能沒有對XSS 進行過濾,那麼我們可以對其進行評論,評論如下:

<script>
while(true) {
    alert(&#39;你关不掉我&#39;);
}
</script>
登入後複製

在發布評論中含有JS 的內容文本,這時候如果伺服器沒有過濾或轉義掉這些腳本,作為內容發佈到頁面上,其他使用者造訪這個頁面的時候就會運行這段腳本。

這只是一個簡單的小例子,惡意著可以將上述程式碼修改為惡意的程式碼,就可以盜取你的 Cookie 或其它資訊了。

XSS 類型:

一般可以分為: 持久性XSS 和非持久性XSS

1、持久性XSS 就是對客戶端攻擊的腳本植入到伺服器上,從而導致每個正常存取的用戶都會遭到這段XSS 腳本的攻擊。 (如上述的留言評論功能)

2、非持久型XSS 是對一個頁面的URL 中的某個參數做文章,把精心構造好的惡意腳本包裝在URL 參數重,再將這個URL 發佈到網上,騙取用戶訪問,從而進行攻擊

非持久性XSS 的安全威脅比較小,因為只要伺服器調整業務代碼進行過濾,黑客精心構造的這段URL 就會瞬間失效了,而相較之下,持久型XSS 的攻擊影響力很大,有時候服務端需要刪好幾張表,查詢很多函式庫才能將惡意程式碼的資料進行刪除。

推薦教學:web伺服器安全性

#

以上是XSS攻擊的原理是什麼的詳細內容。更多資訊請關注PHP中文網其他相關文章!

相關標籤:
來源:juejin.im
本網站聲明
本文內容由網友自願投稿,版權歸原作者所有。本站不承擔相應的法律責任。如發現涉嫌抄襲或侵權的內容,請聯絡admin@php.cn
熱門教學
更多>
最新下載
更多>
網站特效
網站源碼
網站素材
前端模板