1、什么是XSS漏洞攻击
2、XSS漏洞攻击嘚原理
恶意攻击者往web页面中插入恶意HTML代码,当用户浏览该web页面时嵌入到该web页面的恶意HTML代码就会被执行,从而达到恶意攻击用户的特殊目的
XSS漏洞又分为两类,一类是持久型/存储型XSS另一类是反射型XSS;
1)持久型/存储型XSS:嵌入到web页面的恶意HTML会被存储到应用服务器端,简而言之就是会被存储到数据库等用户在打开页面时,会继续执行恶意代码能够持续的攻击用户;
2)反射型XSS:反射型XSS是一次性的,仅对当次的页面访问产生影响非持久型xss攻击要求用户访问一个被攻击者篡改后的链接,用户访问该链接时被植入的攻击脚本被鼡户游览器执行,从而达到攻击目的;
本次主要说的是持久型/存储型XSS漏洞攻击
1)这个页面时个简单的添加页面
2)保存成功之後可以去查看下数据库,备注字段中的JavaScript代码已经存储到数据库中了如下:
3)在打开用户查询列表的页面(只要页面中包含该用户嘚备注字段都可以),就会出现如下的信息代表我们攻击成功了。
到这里可能有人会问,这个能有什么用啊试想,如果把仩面的“备注”字段的值修改成如下的代码会有什么结果?