WEB漏洞
本帖最后由 chouxianyu 于 2024-4-28 17:02 编辑# **WEB漏洞--XSS攻击**(基于HTML的XSS)
# (若有不对请指正)
# **XSS攻击**
XSS攻击,通常指恶意人员通过“HTML 注入”篡改了网页,插入恶意脚本,从而在用户浏览网页时,控制用户浏览器的一种攻击。
# **危害**
||||||
| -------- | -------- | -------- |
| Cookie劫持 | 模拟 GET、POST请求操作用户的浏览器 | 钓鱼诈骗 |获取用户ip|Xss蠕虫攻击|
# **分类**
**HTML XSS**
||||
| -------- | -------- | -------- |
| 反射型XSS | 存储型XSS | DOM型XSS |
**Flash XSS**
# **攻击手段**
**XSS Payload**
XSS Payload实际上就是JavaScript脚本(还可以是Flash或其他富客户端的脚本),任何JavaScript脚本能实现的功能,XSS Payload都能做到利用、控制用户浏览器。
# **XSS防御**
|||||||
| -------- | -------- | -------- | -------- | -------- | -------- |
|大小写绕过|关键字过滤|标签闭合|字符拼接|关键字过滤|符号过滤|
具体防御方式参考https://www.cnblogs.com/xfbk/p/17936998 争取在下周日补完手中的XSS笔记 chouxianyu 发表于 2024-4-21 21:58
争取在下周日补完手中的XSS笔记
还是比较粗糙的笔记,不用太当真,网上有更好的
页:
[1]