标签:漏洞 xss web服务器
XSS漏洞按照攻击利用手法的不同,有以下三种类型:
类型A,本地利用漏洞。 该漏洞存在于页面中的客户端脚本本身中。 其攻击过程如下。
yedhn给愉快的笑容发送了恶意制作Web的URL。
我的笑容点击这个URL看了。
恶意页面的JavaScript打开有漏洞的HTML页面,安装在快乐微笑的电脑上。
有漏洞的HTML页面包含在带着愉快微笑的计算机本地区域运行的JavaScript。
yedhn的恶意脚本可以在快乐笑容的电脑上执行快乐笑容所具有的权限下的命令。
** 类型B,**反射性漏洞,该漏洞与类型a有点相似,但当Web客户端使用服务器端脚本生成页面并向用户提供数据时,未经验证的用户数据为Han 其攻击过程如下
yedhn总是在浏览某个网站。 这个网站是为了快乐的笑容而拥有的。 在微笑的网站上运行yedhn,使用用户名/密码登录,存储银行账户信息等敏感信息。
Charly发现快乐微笑的网站包含反射性的XSS漏洞。
Charly制作了利用漏洞的URL,将其伪装成来自愉快笑容的邮件发送给yedhn。
yedhn登录快乐微笑的网站后,会浏览Charly提供的URL。
嵌入在URL中的恶意脚本将在yedhn的浏览器中执行。 就好像直接来自一个笑容愉快的服务器。 该脚本窃取敏感信息(许可证、信用卡、帐户信息等),并在yedhn完全不知情的情况下将其发送到Charly的网站。
类型C是最广泛使用的基于存储的漏洞,是可能影响Web服务器自身安全的漏洞。 黑客将攻击脚本上传到Web服务器,访问该页面的所有用户都面临信息泄露的可能性。 其中包括Web服务器的管理员。 其攻击过程如下
愉快的笑容有一个网站,用户可以通过该网站发布信息,并浏览已发布的信息。
查理注意到愉快微笑的网站上有c型XSS的漏洞。
Charly公开了热点信息,其他用户陆续阅读。
快乐的笑容和yedhn等其他人浏览此信息时,会话cookies和其他信息会被Charly窃取。
类型a直接威胁用户个人,而类型b和类型c威胁的对象是企业级网络APP。