储存式XSS详解
作者:XXSER
最近很长时间没来红黑,(时间紧张),这个版主做的太不称职了。
XSS的类型分为三种:反射型、存储型、DOM型。
反射型,HTTP请求中带了攻击脚本,立马就能在HTTP响应中(所以是后台处理的漏洞)有体现的,就是反射型。
DOM型是由于页面中原有的Javascript代码操作DOM,DOM被攻击者修改了(所以是原来Javascript代码的漏洞),而导致的XSS漏洞。
存储型就是攻击脚本被存储到了数据库或者文件中,服务器端(可能是别的应用或者别的页面)在读取了存储的内容后回显了,就是存储型。这种情况用户可能直接打开正常的页面就会看到被注入了。
<script>alert('xx')</script>
修补方法:
过滤、