🔥码云GVP开源项目 12k star Uniapp+ElementUI 功能强大 支持多语言、二开方便! 广告
跨站脚本攻击-----概念(1) ``` 跨站脚本攻击(Cross site scripting,XSS),是一种迫使Web站点回显可执行代码的攻击技术,攻击者通过构造一些具有特定目的的可执行恶意代码,比如盗取用户的账号、口令或者cookie信息等,然后把这些构造好的代码嵌入Web页面里,当用户浏览该页面时,嵌入其中的可执行的恶意代码就会被执行,从而达到攻击者的目的。 要对一个Web站点进行跨站脚本攻击,首先必须要检测出该Web站点是否存在跨站脚本漏洞,因为只有存在跨站脚本漏洞,才可以使被嵌入Web页面的恶意代码被浏览器触发执行。 ``` 跨站脚本攻击----跨站脚本漏洞(2) ``` 由于程序员在编写Web应用程序时,对于一些允许用户输入、提交的数据(比如留言板、评论等)没有做充分的过滤,就直接把数据提交到站点数据库,或者直接把数据嵌入Web页面作为请求响应发送给用户,如果是这样,恶意用户则可以提交一些特别构造好的恶意代码,这些恶意代码一般是由JavaScript或者VBScript脚本语言写的,由于Web应用程序没有完全过滤恶意用户提交的代码,则恶意代码可以被执行,那么该Web应用程序在此处就存在跨站脚本漏洞。 ``` 跨站脚本攻击--跨站脚本漏洞分类(3) ![](https://img.kancloud.cn/2c/83/2c830ba217ce65f267608e0e60178a16_1202x638.png) ![](https://img.kancloud.cn/64/73/647359376c24a2880668d4da44d493d8_770x477.png) ![](https://img.kancloud.cn/77/a2/77a2bc5a215ddabde2e1cefef30f0a58_775x325.png) 跨站脚本攻击--跨站脚本实例(4) 第三方xss平台: http://xsspt.com/ 实验url:dedecms http://192.168.3.85:800/DedeCmsV5.6-GBK-Final/uploads/index.html 后台地址: http://192.168.3.85:800/DedeCmsV5.6-GBK-Final/uploads/dede/login.php?gotopage=/DedeCmsV5.6-GBK-Final/uploads/dede/