企业官网建设流程全解析

做网站首页可以用传媒公司吗,网站开发的收获与体会,论坛网站免费建设模板,信用南京网站提示#xff1a;文章写完后#xff0c;目录可以自动生成#xff0c;如何生成可参考右边的帮助文档 文章目录前言一、XSS攻击的三种类型#xff1f;1.反射型XSS#xff08;非持久型XSS#xff09;2.存储型XSS#xff08;持久型XSS#xff09;3.DOM型XSS#xff08;非持…提示文章写完后目录可以自动生成如何生成可参考右边的帮助文档文章目录前言一、XSS攻击的三种类型1.反射型XSS非持久型XSS2.存储型XSS持久型XSS3.DOM型XSS非持久型XSS二、利用XSS漏洞1.修改网页2.钓鱼3.劫持链接总结前言虽然这个模块被分到Tier2但是这个模块学起来还算是非常简单的。跨站脚本攻击本质上也是一种网站应用程序对用户输入没有严格过滤导致的漏洞按我的理解它本质上和SQL注入、文件包含漏洞没有什么不同。一般发现XSS漏洞的方式有两种一种是测试网站应用程序的参数因为网站应用程序的不同可能导致反馈不同所以可能要自己编写python脚本进行攻击还有一种直接审计源代码进行白盒测试。一、XSS攻击的三种类型1.反射型XSS非持久型XSS攻击者将恶意脚本注入到URL参数中用户点击带有恶意参数的链接时服务器将参数返回给浏览器并执行。这种攻击依赖用户主动触发常见于钓鱼邮件或恶意链接。2.存储型XSS持久型XSS恶意脚本被永久存储在目标服务器如数据库、评论区当其他用户访问包含该脚本的页面时脚本自动执行。危害范围广常见于社交平台或论坛。3.DOM型XSS非持久型XSS攻击通过修改页面的DOM结构而非服务器响应实现主要是使页面的javascript脚本使用document类的各项操作。恶意脚本在客户端动态生成通常由于前端代码未正确处理用户输入导致。这类攻击不依赖服务器仅通过浏览器端漏洞触发。二、利用XSS漏洞1.修改网页一般是使用存储型XSS。通过Document类等手段修改页面内容。比如修改某个网站页面宣称该网站被黑了。主要是攻击该网站的声誉。2.钓鱼这个方式主要是使用XSS修改网页内容加入不良链接或者是伪造登陆界面然后发送给受害者。持久性或非持久性都可以。3.劫持链接主要是使用javascript的document类来获取受害者的cookies,可以在总结XSS漏洞危害不大一般不能用XSS获取服务器权限要结合其他漏洞使用但是范围广容易出现。