1. StackOverflow 文件
  2. xss 教程
  3. 開始使用 xss

開始使用 xss

Created: November-22, 2018

概述跨站點指令碼(通常稱為 XSS)是一種 Web 應用程式注入攻擊,其中惡意指令碼被注入受信任的網站。

當攻擊者利用或利用Web 應用程式中的缺陷將攻擊者的有效負載傳送到客戶端的瀏覽器時,就會發生 XSS 攻擊。當 Web 應用程式將使用者輸入傳送到瀏覽器而未事先驗證或編碼時,通常會遇到這些缺陷。

XSS 有效負載在可信站點的域內執行,並且有可能訪問該網站的 cookie,修改頁面的 DOM 甚至濫用客戶端的瀏覽器或擴充套件。

XSS 型別

雖然最終結果對於所有 XSS 攻擊(伺服器響應中的攻擊者控制的有效負載)是相同的,但是存在三種不同型別的 XSS 漏洞。

  • 儲存的 XSS 是一種攻擊,其中 XSS 有效負載永久儲存在目標網站上,例如在資料庫中。當客戶端(例如受害者)載入諸如論壇板或評論部分的頁面以載入有效載荷時,它將在其瀏覽器中執行。
  • 反射的 XSS 是一種攻擊,其中 XSS 有效負載隨請求一起傳送到伺服器並反映在響應中。可以通過單擊精心製作的連結,提交表單或許多其他傳遞機制來觸發這些攻擊。
  • 客戶端 XSS ,也稱為基於 DOM 的 XSS ,是一種僅在客戶端瀏覽器中發生的攻擊(即,它不是由伺服器的響應傳送的),它通過操作 DOM 的環境來強制頁面上的現有可信指令碼執行 XSS 有效載荷。