XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括Java、 VBScript、ActiveX、 Flash 或者甚至是普通的HTML。攻击成功后,攻击者可能得到包括但不限于更高的权限(如执行一些操作)、私密网页内容、会话和cookie等各种内容。
(人们经常将跨站脚本攻击(Cross Site Scripting)缩写为CSS,但这会与层叠样式表(Cascading Style Sheets,CSS)的缩写混淆。因此,有人将跨站脚本攻击缩写为XSS。)
下面是我在博客中截取的一段文字。
类型:
1 DOM型。属于反射型的一种,利用非法输入来闭合对应的html标签。数据流向是URL→浏览器。
2 存储型。危害大。相关源代码存放于服务器,用户浏览该页面时触发代码执行。
3 反射型。需要攻击者提前构造一个恶意链接来诱使客户点击。
具体操作参照下面的博客可以轻而易举的完成,后续的学习会将相关知识发布。这里就把我实践的过程发一下。
https://blog.csdn.net/weixin_43486981/article/details/107974878
在项目名称中发现flag