XSS跨站脚本攻击的原理
跨站脚本攻击的原理就是:在用户访问的web页面上嵌入恶意的javascript代码,然后通过自动或者诱使用户操作的手段让代码执行。一般来说,这个用户访问的web页面不属于攻击者,而是其它无辜的网站。正因为如此,它的破坏性很大,比如在google上嵌入XSS的话,所有访问google的人都会中招。
这里涉及如何将javascript放入网页。
1、网站本身允许交互的话,攻击者可以通过这种交互直接输入。
2、通过攻击服务器,在服务器一侧将脚本写入网页中。
3、通过arp病毒等手段,让用户通过代理访问目标网站,在代理病毒程序中处理获取的网页,篡改和加入脚本。
4、其它手段
让脚本执行也有很多方法,由于javascript的灵活性,可以有许多躲避过滤的方法,比如转义字符等等。
页:
[1]