XSS(跨站脚本攻击)是一种经典的网络攻击方式,它主要是利用了应用程序没有谨慎处理用户输入的漏洞。攻击一般发生在搜索框,表单,cookie和在线论坛等处。
XSS可以分为两类类:映射型XSS(非持久型),存储型XSS(持久型)。
映射型XSS
这种是最基础的攻击方式,一般出现恶意脚本映射到网站内容中并执行时。
设想一下这个例子:
Alice经常访问一个网站,这网站由Bob维护。Alice使用用户名和密码登录网站,此网站保存了一些敏感数据,例如账单。用户登录后,浏览器用cookie来记录用户身份信息。Mallory注意到Bob的网站有reflectedXSS漏洞:她访问搜索页面,上面有一个搜索框用于输入关键词。输入关键词,然后点击提交按钮。如果找不到搜索结果,页面会展示刚输入的关键词然后加上”notfound”,此时URL格式是