XSS跨站脚本攻击学习

一.概述

攻击者通过网站注入点注入客户端可执行解析的payload(脚本代码)，当用户访问网站时，恶意payload自动加载并执行(盗取cookie、恶意传播、钓鱼欺骗等)，以达到为了避免与HTML语言中CSS相混淆，通常称它为”XSS“

危害：获取用户信息、钓鱼、注入木马或者广告链接、后台增删改查网站数据等操作、XSS蠕虫

基础类型：

1.反射性XSS(钓鱼、引流、配合其他漏洞如CSRF)

<h1>xxx

 

2.存储型XSS(攻击范围广，流量传播大，可配合其他漏洞)

3.DOM型XSS(配合，长度大小不受限制)