xss初识
2017-09-11 12:28
190 查看
1.xss初识
最近在看xss方面的东西,就记录一下自己的学习成果。xss其实也是一种注入漏洞吧,形成的原因是机器把客户的输入当做代码执行,怎么才会出现这种现象呢?这就好比你在玩lol之类的游戏,当你被敌方击毙后,系统会提示“xxx杀死了xxx”这类,但是如果你把自己的游戏名改为“他爸爸”,系统就会提示“xxx杀死了他爸爸”,这种现象就是所谓的拼接了,这样就会产生歧义,xss也是同样的道理,当你正常输入一些数据时,系统会正常工作,但是当你输入一些类似于<script>alert(666)</script>这样的代码时,有些系统就会直接运行这些代码从而产生xss,下面是我遇到的溢出反射型xss:
当然xss也分为很多种类型:
a.反射型
b.存储型
c.基于dom的xss
所谓反射型xss就是你输入的代码不会存储在服务器上,只有你输入代码的时候你可以看到xss发生了,别人是看不到的,这种类型的xss一般破坏很小,属于鸡肋吧。
存储型xss则是存储在服务器上,当你或别人下一次再次访问你曾经插入xss代码的地方时,任然会出现xss现象,这种类型的xss破坏算是非常大的了,不可小觑,一般这种类型的xss可以用于盗取用户的cookie。(cookie是用于存储
b720
用户信息的,如果这个被盗了,别人就可以用你的cookie做各种之前只有你能做的事,比如登录你的账户,发文章,删除文章等)
基于dom的xss,这种类型的xss其实是比较特殊的他不是按照用户输入的xss代码是否存储在服务器来分类,顾名思义该种类型时与dom节点有关的,没错这类xss就是通过修改dom节点而形成的xss(DOM节点全称是document object module即文件对象模型,你可以简单的把DOM理解为html代码,但是他们并不相同,此处只是方便理解,具体请自行Google).该类xss的用处我也不好评估,但是个人觉得存储型xss杀伤力最大。
下一章我们将详细探讨反射型xss
相关文章推荐
- 初识 XSS 1
- 初识 XSS 2
- 【XSS爬坑之路一】初识XSS
- 初识 XSS 3
- XSS 自动化检测 Fiddler Watcher & x5s & ccXSScan 初识
- 初识XSS
- XSS自动化检测 Fiddler Watcher & x5s & ccXSScan 初识
- 初识html5 必须知道的五件事
- XSS的一些总结(原理+检测+防御)
- Maven实战之初识Maven
- 初识 WCF Ria Service
- JVM调优总结 -Xms -Xmx -Xmn -Xss
- 初识Markdown
- 初识Android
- JSON解析---初识
- ubi文件系统初识
- 初识移动互联网
- xss利用和检测平台
- 初识Linux——linux环境变量篇
- 初识设计模式