xxs学习总结

一、什么是XSS

XSS攻击全称跨站脚本攻击（Cross Site Scripting），是为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆，故将跨站脚本攻击缩写为XSS，XSS是一种在web应用中的计算机安全漏洞，它允许恶意web用户将代码植入到提供给其它用户使用的页面中。XSS攻击是新型的“缓冲区溢出攻击“，而JavaScript是新型的“ShellCode”。

二、XSS攻击的危害

1、盗取各类用户帐号，如机器登录帐号、用户网银帐号、各类管理员帐号

2、控制企业数据，包括读取、篡改、添加、删除企业敏感数据的能力

3、盗窃企业重要的具有商业价值的资料

4、非法转账

5、强制发送电子邮件

6、网站挂马

7、控制受害者机器向其它网站发起攻击

三、XSS漏洞的分类

1、DOM型

简单来说就是A给B发了一个url链接，而B打开了这个链接，url里的ShellCode就会被执行，利用JavaScript打开一个具有某种漏洞的HTML界面并安装在用户的客户端界面上。

2、存储型

A把ShellCode存储到某网站的的数据库中，当B访问这个网站时就会执行数据库中ShellCode，从而可能被A盗取用户信息。

3、反射型

A发现某网站存在反射型xss漏洞，于是当B在与这个网站交互时，A把伪造的含有ShellCode的url以服务器的名义发给B，B点开了这个url，里面的ShellCode就会被执行，JavaScript就会将用户的信息传给A伪造的站点。