频道栏目
首页 > 安全 > 网站安全 > 正文

反映型XSS和持久型XSS

2012-01-04 17:48:09           
收藏   我要投稿
XSS又叫CSS (Cross Site Script) ,跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意攻击用户的特殊目的。XSS属于被动式的攻击,因为其被动且不好利用,所以许多人常忽略其危害性。
 
 
恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意用户的特殊目的。
 
简介:  许多web 开发人员认为安全性无足轻重。安全性经常沦为软件开发生命周期的最后一位,有些甚至事后才想起。有时候,软件安全性被完全忽视,导致应用程序中充满常见漏 洞。目前条件下这类bug 只有在遭到攻击时才能表现出来,所以如果没有开发流程方面的知识,很难在事件发生之前检查到。使用jQuery Mobile、PHP 和MySQL 构建web 应用程序,本教程显示常用开发方法会伴有多少种类型的漏洞,最重要的是,提供了它们各自的对策。
 
XSS漏洞类型主要分为持久型和非持久型两种:
 
1. 非持久型XSS漏洞一般存在于URL参数中,需要访问黑客构造好的特定URL才能触发漏洞。
 
2. 持久型XSS漏洞一般存在于富文本等交互功能,如发帖留言等,黑客使用的XSS内容经正常功能进入数据库持久保存。
 
3. DOM XSS漏洞,也分为持久和非持久型两种,多是通过javascript DOM接口获取地址栏、referer或编码指定HTML标签内容造成。
 
4. FLASH,PDF等其他第三方文件所造成的特殊XSS漏洞,同样按应用功能也分为持久和非持久型。
 
反映型XSS:当请求数据在响应中呈现为未编码和未筛选时,就会发生反映型XSS。有了社会工程的帮助,攻击者可以诱骗用户访问创建这样一个请求的页面,即允许攻击者在目标用户上下文中执行JavaScript。这种变化可以做什么取决于漏洞的性质,但是XSS 一般被利用来劫持会话、窃取凭据或者执行未经授权的操作。
 
持久型:持久型威胁通常比反映型威胁更大,在服务器为用户提交的请求数据服务时就认为XSS 漏洞是持久型的。因为恶意数据在应用程序中是持久的,所以可根据不同的漏洞加以利用,这使得攻击的社会工程方面变得更简单了,甚至完全消除了。
相关TAG标签 持久型
上一篇:通过0长度密码绕过MySQL认证
下一篇:XSS漏洞验证语句
相关文章
图文推荐

关于我们 | 联系我们 | 广告服务 | 投资合作 | 版权申明 | 在线帮助 | 网站地图 | 作品发布 | Vip技术培训 | 举报中心

版权所有: 红黑联盟--致力于做实用的IT技术学习网站