什(shén)麽是(shì)XSS攻擊？有(yǒu)什(s$Ω→hén)麽特點?

這(zhè)篇文(wén)章(zhāng)為(₩↔↕'wèi)大(dà)家(jiā)介紹一(yī)下(xià)什(shén)麽​€Ω是(shì)XSS攻擊?XSS攻擊有(yǒu)什(shén)麽∑ ↑↕特點?XSS攻擊分(fēn)為(wèi)幾個(gè)類型?希望¶←能(néng)夠給剛入門(mén)的(de)你(n↓λ ©ǐ)帶來(lái)幫助。
一(yī)、什(shén)麽是(shì)XSS攻擊
XSS攻擊中文(wén)名稱為(wèi)¶'：跨站(zhàn)腳本攻擊，XSS的(de)≥≤重點不(bù)在于跨站(zhàn)，而在于腳 ÷本的(de)攻擊。

XSS攻擊的(de)工(gōng)作(zuò)原理© ✘★(lǐ)：攻擊者會(huì)在web頁面中插入一(yī)些•>π→(xiē)惡意的(de)script代碼。當用(yòng)戶浏覽該頁"δ面的(de)時(shí)候，那(nà)麽嵌套在該頁面的(de)代碼就(ji♦‌¶ù)會(huì)執行(xíng)，因此會(huì)↕≤達到(dào)攻擊用(yòng)戶的(de)目的(de)。

二、XSS攻擊有(yǒu)什(shén)麽特點?

　　與釣魚攻擊對(duì)比，XSS攻擊所帶來(lái)的(de)∏‍危害更大(dà)，具有(yǒu)如(rú)下(xià)特點：

　　1.由于XSS攻擊在用(yòng)戶當前使用(yòng)的(d♥☆e)應用(yòng)程序中執行(xíng)，用(yòng)戶¥•©将會(huì)看(kàn)到(dào)與其有(yǒu)關的(de)個( £×₽gè)性化(huà)信息，如(rú)賬戶信息或歡δ Ω迎回來(lái)消息，克隆的(de)Web站(zh‍<àn)點不(bù)會(huì)顯示個(gè)性化(huà)信息。

　　2.通(tōng)常，在釣魚攻擊中使用(yòng)的©∏π∑(de)克隆Web站(zhàn)點一(yī)經發現(xiàn)，Ω☆∏"就(jiù)會(huì)立即被關閉。

　　3.許多(duō)浏覽器(qì)與安全防護軟©π件(jiàn)産品都(dōu)內(nèi)置釣魚×Ω€攻擊過濾器(qì)，可(kě)阻止用(yò® £ng)戶訪問(wèn)惡意的(de)克隆站(zhàn)↕≥✔點。

　　4.如(rú)果客戶訪問(wèn)一✔ (yī)個(gè)克隆的(de)Web網銀(yín)站(zhà  n)點，銀(yín)行(xíng)一(yī)般不(bù)承≥σ§擔責任。但(dàn)是(shì)，如(rú)果攻擊者★δ×通(tōng)過銀(yín)行(xíng)應用(yòng)程序中的(de)XS∏<'↑S漏洞攻擊了(le)銀(yín)行(xíng)客戶，則銀(yín)行←  (xíng)将不(bù)能(néng)簡單地(dì)₩β推卸責任。

三、XSS攻擊分(fēn)為(wèi)幾個(×φgè)類型?

　　從(cóng)攻擊代碼的(de)工(gōng)作(zuò)方式可(kě) ₽以分(fēn)為(wèi)三個(gè)類型：

　　1.持久型跨站(zhàn)：最直接的(de)危害類型，跨♣Ωπ站(zhàn)代碼存儲在服務器(qì)。

　　2.非持久型跨站(zhàn)：反射型跨站(zhàn)腳本漏洞，∑♥最普遍的(de)類型。用(yòng)戶訪問(wèn)服" 務器(qì)-跨站(zhàn)鏈接-返回跨站(zhàn)代碼↔&。

　　3.DOM跨站(zhàn)：DOM，客戶§®端腳本處理(lǐ)邏輯導緻的(de)安全≈÷問(wèn)題。

　　基于DOM的(de)XSS漏洞是(shì)指α¥受害者端的(de)網頁腳本在修改本地(dì)頁面DOM環境時(s™§hí)未進行(xíng)合理(lǐ)的(de)處置，而使得(₩ε↓☆de)攻擊腳本被執行(xíng)。在整個(gè)攻擊過程中，服務器(qìγ®♦ )響應的(de)頁面并沒有(yǒu)發生(shēng •)變化(huà)，引起客戶端腳本執行(xíng)結≤₹果差異的(de)原因是(shì)對(duì)本地(dì)↑$&εDOM的(de)惡意篡改利用(yòng)‍<₹。
關于墨者安全
墨者安全緻力于安全防護、服務器(qì)高(gāo)防、☆→ 網絡高(gāo)防、ddos防護、cc防護、dns防護、防€£‍劫持、高(gāo)防服務器(qì)、高(gā ←§o)防dns、網站(zhàn)防護等方面的(de)服務，全網第一(yī'€β)款指紋識别技(jì)術(shù)防火(huǒ)牆，自(zì)研的(∏®'εde)WAF指紋識别架構，提供任意CC和(hé)DDoS攻擊防禦