xss跨站脚本攻击 简介与实战(某学习网站xss漏洞)

墙和鸡蛋

xss-跨站脚本攻击 简介

跨站脚本攻击(Cross Site Scripting)，为了不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆，故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意Script代码，当用户欣赏该页之时，嵌入其中Web内里的Script代码会被实行，从而到达恶意攻击用户的目标。

通俗来讲 就是受害者实行了攻击者编写的恶意的javascript代码
xss-实战"攻击“

此次我们充当的角色是攻击者 所以我们先预备一段 伪恶意javascipt代码：
xss的一大特点就是传播，现在"恶意"代码有了，我们需要一个介质来传播，让尽可能多的用户实行"恶意"代码是攻击者的宗旨
通过某学习网站的站内邮件功能向其他用户发送"恶意"代码**


当用户点击查察邮件以后会发现页面主动跳转到我们代码中指定的网址中了,说明用户实行了我们的"恶意"代码
xss-防范手段

众所周知xss漏洞黑白经常见的一种攻击方式，某浪、某book、某度贴吧、某某音乐 都曾遭受过xss攻击
但只要从源头上限制住用户提交的信息，就可一定程度上避免遭受xss攻击
作为用户我们无法限制攻击者 只能从我们自身的精良风俗来降低被攻击后的丧失
一般来说攻击者可使用的有代价的是我们储存在欣赏器里的一些信息 好比保存的账号密码 cookie等..
所以说尽量不要在欣赏器留下重要的、敏感的个人信息，别的不访问没有保障的\非正规的网站\不任意打开来源不明的链接 也可一定程度上的避免遭受xss攻击

来源：http://www.12558.net
免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！