- XSS(跨站脚本)概述
-
Cross-Site Scripting 简称为“CSS”,为避免与前端叠成样式表的缩写"CSS"冲突,故又称XSS。一般XSS可以分为如下几种常见类型:
1.反射性XSS;
2.存储型XSS;
3.DOM型XSS;
-
XSS漏洞一直被评估为web漏洞中危害较大的漏洞,在OWASP TOP10的排名中一直属于前三的江湖地位。
XSS是一种发生在前端浏览器端的漏洞,所以其危害的对象也是前端用户。
形成XSS漏洞的主要原因是程序对输入和输出没有做合适的处理,导致“精心构造”的字符输出在前端时被浏览器当作有效代码解析执行从而产生危害。
因此在XSS漏洞的防范上,一般会采用“对输入进行过滤”和“输出进行转义”的方式进行处理:
输入过滤:对输入进行过滤,不允许可能导致XSS攻击的字符输入;
输出转义:根据输出点的位置对输出到前端的内容进行适当转义;
-
你可以通过“Cross-Site Scripting”对应的测试栏目,来进一步的了解该漏洞。
- 系统介绍
- 暴力破解
- Cross-Site Scripting
- CSRF
- SQL-Inject
- RCE
- File Inclusion
- Unsafe Filedownload
- Unsafe Fileupload
- Over Permission
- ../../
- 敏感信息泄露
- PHP反序列化
- XXE
- URL重定向
- SSRF
- 管理工具
Pikachu PIKA~ PIKA~© runner.han