本帖最后由 yunyings 于 2020-6-24 16:28 编辑
xss-跨站脚本攻击 简介
跨站脚本攻击(Cross Site Scripting),为了不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。
通俗来讲 就是受害者执行了攻击者编写的恶意的javascript代码
xss-实战"攻击“
此次我们充当的角色是攻击者 所以我们先准备一段 伪恶意javascipt代码:
<script>window.location.href = '被跳转到的网址';</script><!-- 此代码作用是跳转到指定网址,网址可随意填写 -->
xss的一大特点就是传播,现在"恶意"代码有了,我们需要一个介质来传播,让尽可能多的用户执行"恶意"代码是攻击者的宗旨
通过某学习网站的站内邮件功能向其他用户发送"恶意"代码**
当用户点击查看邮件以后会发现页面自动跳转到我们代码中指定的网址中了,说明用户执行了我们的"恶意"代码
xss-防范手段
众所周知xss漏洞是非常常见的一种攻击方式,某浪、某book、某度贴吧、某某音乐 都曾遭受过xss攻击
但只要从源头上限制住用户提交的信息,就可一定程度上避免遭受xss攻击
作为用户我们无法限制攻击者 只能从我们自身的良好习惯来降低被攻击后的损失
一般来说攻击者可利用的有价值的是我们储存在浏览器里的一些信息 比如保存的账号密码 cookie等..
所以说尽量不要在浏览器留下重要的、敏感的个人信息,另外不访问没有保障的\非正规的网站\不随便打开来源不明的链接 也可一定程度上的避免遭受xss攻击 | 
[复制链接]
发表于 2020-6-24 12:58
曾经在一个phpwind的论坛上,有人将附件下载链接插入图片方式引用到回复内容中!每次点击附件下载是要扣积分的,结果好多人积分悄悄的扣光了...这也算是一种xss攻击吧!!
