xss攻擊學習筆記

1、xss攻擊

    xss攻擊（Cross Site Scripting）全稱跨站腳本攻擊。經過嵌入惡意腳本代碼到正常的用戶能訪問到的網頁。當用戶正常訪問該頁面時，執行惡意代碼。是很是廣泛的一種web漏洞。xss攻擊可竊取cookie信息，監聽用戶行爲，威脅web服務器安全，危害極大。

2、xss漏洞

  好比說HTML超文本標記語言中<>標識開始，在動態頁面中插入<Javascript腳本語言>，使得網頁誤覺得插入了HTML語言，而成功執行Javascript腳本語言。xss攻擊就利用了xss漏洞，執行腳本語言。

3、分類

1. 反射型xss攻擊

  反射型xss攻擊是非持久型的，只執行一次。常見於誘導用戶點擊的惡意連接。

如：惡意連接

https://aa.com/error.php?message=<script>alert(''xss攻擊''）;</script>

攻擊者將帶有惡意連接的Email發送給用戶，用戶點擊url，進入該頁面，執行嵌入在url中的Javascript腳本代碼

<script>alert(''xss攻擊''）;</script>，

最後跳出彈框「xss攻擊」。

若是咱們吧改爲其餘的更有惡意的腳本代碼，咱們能夠輕鬆獲取用戶cookie。

2. 存儲型xss攻擊

  >存儲型xss攻擊是持久型的。會直接威脅web服務器安全，無需用戶點擊特定的url就可執行腳本攻擊。
常見於頁面數據交匯處，如：評論，修改用戶信息，登陸，留言板，搜索等地方。
攻擊者將腳本代碼嵌入留言區等，提交到服務器，其餘用戶登陸時也會執行該腳本代碼。

3、常見的xss攻擊代碼

1. 自動彈出

<body onload="alert('xss')"></body>

二、撐滿屏幕

<p onclick="alert('1')" style="postion:fixed;width:100%;heith:100%">&nbsp;</p>

三、增長屬性觸發

<input onfocus="alert('1')" autofocus/>