试读《XSS跨站脚本攻击剖析与防御》心得和体会:
其实现在很多人都认为,XSS跨站只是弹个窗,严重点就是盗取用户的cookie,不像是SQL注入那样那么直接读取数据库,所以很多人都不太重视,觉得对网站没有太大的危害,就忽略了此漏洞。
如果能构造出Shellcode,XSS还是能干很多事情的,比如:xss蠕虫、Cookie资料窃取、会话劫持、钓鱼欺骗等等各种攻击。
这本书详细介绍了什么是XSS,以及XSS可以用来干什么,从xss菜鸟进阶到XSS高手,而且详细说明了哪些地方可能出现XSS,从XSS的挖掘-——到xss的利用——再到xss的修复。
只想早点拿到这本书,成为XSS的高手
再说点,其实我们更应该关注,xss的利用,让XSS不仅仅是弹窗!