- 1、本文档共12页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
Web攻防训练营
XSS跨站脚本分类
课程内容
1.XSS漏洞介绍3.存储型XSS
2.反射型XSS4.DOM型XSS
01
XSS漏洞介绍
跨站脚本攻击(CrossSiteScripting),为了不和层叠样式表(CascadingStyleSheets,CSS)的缩写混
淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,
嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。
02
反射型XSS
反射型XSS又称非持久性XSS,这种攻击往往具有一次性。
攻击者通过邮件等形式将包含XSS代码的链接发送给正常用户,当用户点击时,服务器接受该用户的请
求并进行处理,然后把带有XSS的代码发送给用户。用户浏览器解析执行代码,触发XSS漏洞。
例如:
?php
echo$_GET[“uname”];
?
当用户访问url?uname=scriptalert(“hello”);/script时,触发代码,弹出对话框。
返回Whois信息
03
存储型XSS
存储型XSS又称持久型XSS,攻击脚本存储在目标服务器的数据库中,具有更强的隐蔽性。
攻击者在论坛、博客、留言板中,发帖的过程中嵌入XSS攻击代码,帖子被目标服务器存储在数据库中。
当用户进行正常访问时,触发XSS代码。
例如:DVWA中的StoredXSS
04
DOM型XSS
DOM型XSS全称DocumentObjectModel,使用DOM动态访问更新文档的内容、结构及样式。
DOM结构图
HTML标签都是节点,节点组成了节点树。通过HTML
DOM可以对树上的所有节点进行修改。
个响应时,DOM对象就会处理XSS代码,触发XSS漏洞。
例如:DVWADOMXSS。
总结
1.XSS漏洞介绍3.存储型XSS
2.反射型XSS4.DOM型XSS
再见
欢迎关注Web安全训练营课程
您可能关注的文档
- Web攻防视频教程第五节 XXE漏洞利用 - 任意文件读取 无回显 -01.pptx
- Web攻防视频教程第五节 暴力破解 - Burpsuite设置HTTP认证-01.pdf
- Web攻防视频教程第五节 暴力破解 - Burpsuite设置HTTP认证-01.pptx
- Web攻防视频教程第五节 不再显示结果的盲注-01.pdf
- Web攻防视频教程第五节 命令执行漏洞利用-01.pdf
- Web攻防视频教程第五节 收集Web站点信息-01.pdf
- Web攻防视频教程第五节 收集Web站点信息-01.pptx
- Web攻防视频教程第五节 文件上传-绕过黑名单验证(大小写绕过)-01.pdf
- Web攻防视频教程第五节 文件上传-绕过黑名单验证(大小写绕过)-01.pptx
- Web攻防视频教程第五节 限制输入长度的XSS-01.pdf
- 10《那一年,面包飘香》教案.docx
- 13 花钟 教学设计-2023-2024学年三年级下册语文统编版.docx
- 2024-2025学年中职学校心理健康教育与霸凌预防的设计.docx
- 2024-2025学年中职生反思与行动的反霸凌教学设计.docx
- 2023-2024学年人教版小学数学一年级上册5.docx
- 4.1.1 线段、射线、直线 教学设计 2024-2025学年北师大版七年级数学上册.docx
- 川教版(2024)三年级上册 2.2在线导航选路线 教案.docx
- Unit 8 Dolls (教学设计)-2024-2025学年译林版(三起)英语四年级上册.docx
- 高一上学期体育与健康人教版 “贪吃蛇”耐久跑 教案.docx
- 第1课时 亿以内数的认识(教学设计)-2024-2025学年四年级上册数学人教版.docx
文档评论(0)