XSS攻擊的分類有哪些?
XSS攻擊通常在用戶訪問(wèn)目標(biāo)網(wǎng)站時(shí)或者之后進(jìn)行某項(xiàng)動(dòng)作時(shí)觸發(fā)并執(zhí)行��。根據(jù)攻擊代碼的存在地點(diǎn)及是否被服務(wù)器存儲(chǔ)���,并且根據(jù)XSS攻擊存在的形式及產(chǎn)生的效果���,可以將其分為以下三類��。
1)反射型跨站攻擊:涉及瀏覽器—服務(wù)器交互�。
2)存儲(chǔ)型跨站攻擊:涉及瀏覽器—服務(wù)器—數(shù)據(jù)庫(kù)交互����。
3)DOM型跨站攻擊:涉及瀏覽器—服務(wù)器交互。目前�����,可直接產(chǎn)生大范圍危害的是存儲(chǔ)型跨站攻擊��。攻擊者可利用JS腳本編寫各類型攻擊���,實(shí)現(xiàn)偷取用戶Cookie��、進(jìn)行內(nèi)網(wǎng)探測(cè)���、彈出廣告等行為。
攻擊者構(gòu)造的JS腳本會(huì)被存儲(chǔ)型跨站漏洞直接存儲(chǔ)到數(shù)據(jù)庫(kù)中���,一旦有人訪問(wèn)含有XSS漏洞的頁(yè)面,則攻擊者插入的JS腳本生效,攻擊成功�。接下來(lái),我們會(huì)針對(duì)各類攻擊及思路進(jìn)行講解�����。
