。

攻击者利用该漏洞#xff0c;在网页中注入恶意代码#xff0c;等待受害者访问被注入恶意代码的网页。

网页中的恶意代码会被浏览器识别#xff0c;并执行。

恶意代码通常是Javascript脚本#xff0c;由…谈一谈你对XSS

1.漏洞描述

跨站脚本攻击是一种Web安全漏洞。

攻击者利用该漏洞在网页中注入恶意代码等待受害者访问被注入恶意代码的网页。

网页中的恶意代码会被浏览器识别并执行。

恶意代码通常是Javascript脚本由于JS的灵活性导致XSS的攻击面特别大。

2.漏洞原理

服务器对用户提交的数据过滤不严导致浏览器把用户的输入当成了JS代码并直接返回给客户端执行。

3.漏洞场景

在搜索框、留言板、登录框、聊天室等一切收集用户输入的地方并且捕获用户输入之后会将用户的输入回显在网页中就容易产生xss漏洞。

固定会话攻击

盗取各种用户账号窃取用户Cookie资料冒充用户身份进入网站劫持用户会话执行任意操作刷流量执行弹窗广告传播蠕虫病毒...

6.漏洞验证

scriptalert(/xss/);/scriptscriptconfirm(/xss/);/scriptscriptconfirm(xss);/scriptscriptprompt(xss);/script

7.漏洞利用