什么是XSS
XSS全称
Cross Site Scripting(跨站脚本攻击),由于简称CSS会和Cascading Style Sheets的简称冲突,因此简称为XSS(X一般带有未知与扩展的含义)
XSS简单构造
XSS涉及三方:客户端、攻击者、服务器
攻击者通过给网站嵌入恶意代码,当用户正常访问页面的时候,恶意代码会执行,从而达到恶意攻击用户的目的
XSS攻击存在原理
对上传的内容和输入过滤的不充分,让XSS代码有机可乘
XSS的攻击方法
挂马
通过把木马程序上传到一个网站里面然后用木马生成器生成一个网马,再上传到空间里面。再加代码使得木马在打开网页时运行。这就叫做挂马
DDoS拒绝服务攻击
所谓拒绝服务即DoS(Denial of Service,拒绝服务),广义而言,凡是利用网络安全防护措施不足导致用户不能或不敢继续使用正常服务的攻击手段,都称之为拒绝服务攻击。目的是通过消耗网络带宽或系统资源,使用户不能得到正常的服务。
DDoS(Distributed Denial of Service分散式拒绝服务)指攻击者通过控制网络上的肉鸡,发动他们同时进行拒绝服务攻击。
钓鱼攻击,高级的钓鱼技巧
所谓钓鱼攻击指的是钓鱼式的攻击方式,指企图从电子通讯中,通过伪装成权威人士来获得他人个人敏感信息的诈骗过程。(类似于网络诈骗)。可以通过邮箱进行信息的发送,来诱导攻击对象打开攻击者给的URL(可以用一些社工技巧)。
劫持用户web行为,进一步内网渗透
各种蠕虫攻击
(如web2.0蠕虫、蠕虫式的DDoS攻击、蠕虫式挂马攻击等)
所谓蠕虫攻击,就是利用蠕虫病毒进行攻击。蠕虫病毒是一种可以自我复制的代码,能够通过网络传播,且无需人为干预就可以传播。当蠕虫病毒入侵并且完全控制一台计算机之后,就会把这台计算机当做宿主,进而扫描感染其他计算机。入侵到其他计算机后重复上述步骤。蠕虫病毒会利用递归方法进行传播,同时这种以上述规律去入侵其他计算机,使入侵者能控制越来越多计算机
XSS攻击的种类:
反射型
服务端返回脚本,客户端执行(可以通过url攻击,一般会被浏览器拦截)
存储型
后台存储了非法脚本,直接在前端展示(通过发帖将代码存入后端,类似二次注入)
DOM-Based型
基于DOM或本地的XSS攻击(可能遇到DNS劫持)
