web安全之xss
xxs定义
(Cross-Site Script 跨站脚本攻击)xss攻击原理
由于web应用程序对用户的输入过滤不足产生的一个漏洞,其攻击原理为,攻击者在web表单中插入一段恶意的Javascript代码,当被攻击浏览到这个被插入恶意代码的页面时这个恶意代码就会被执行,导致攻击者达到攻击目的。xss的危害
盗取用户cookie从而利用,用户身份进行恶意操作。蠕虫攻击网页挂马钓鱼链接劫持用户web行为等xss的类型
存储型
存储型xss,也叫持久型XSS ,攻击者将恶意javasrcipt代码插入到服务器中,会存储到数据库中,只要用户浏览到这个页面就会自动触发,不需要用户点击。危害性最高反射型
反射型XSS,也叫非持久型,就是不会被保存到数据库中,攻击者需要利用诱骗的方式让用户点击,这个链接才能达到攻击目的(危害性较低)DOm型
不与后端进行交付,通过修改页面属性的Dom节点产生的xss (危害较低)xss出现的位置
需要提交参数的位置就可能存在XSS输入框一般也容易存在xss类似博客留言这块也容易存在xssxss的利用方式
payload(一般简单验证即可)<img src=1 οnerrοr=alert(1)><Script>alert(document.cookie)>>" <IMG SRC=1 οnerrοr=alert(document.cookie) >xss防御
禁用js读取cookie设置cookie为httponly对于页面输出的的地方 把 > < & ‘ “ / 等进行html转义对用户输入数据中的<> & ‘ “ 进行严格检查限制用户输入类型 长度
