Red de conocimiento informático - Problemas con los teléfonos móviles - XSS Script ¿Qué incluye la vulnerabilidad de secuencias de comandos entre sitios?

XSS Script ¿Qué incluye la vulnerabilidad de secuencias de comandos entre sitios?

Secuencias de comandos XSS Las vulnerabilidades de secuencias de comandos entre sitios incluyen: XSS reflejado, XSS almacenado y XSS DOM: XSS reflejado, XSS almacenado y XSS DOM.

Reflexivo (no persistente): Cuando un usuario accede a una solicitud URL con código XSS, el servidor recibe los datos y los procesa, y luego envía los datos con código XSS al navegador. Los navegadores analizan estos datos con código XSS, lo que en última instancia genera vulnerabilidades XSS.

Tipo de almacenamiento (persistente): el proceso de ataque es información normal del servidor, el servidor almacena código malicioso, el usuario navega por la página web, el servidor devuelve el código malicioso al usuario y el navegador del cliente ejecuta el código malicioso.

Tipo DOM: Es una vulnerabilidad basada en el modelo de objetos del documento DOM. Por lo tanto, a través del código script del navegador del cliente (usado de la misma manera que el tipo de reflexión), DOM XSS depende de la salida. ubicación y no depende del entorno de salida, por lo que también se puede decir que DOM XSS puede ser un tipo de reflexión o un tipo de almacenamiento. El simple entendimiento es que su punto de salida está en el DOM.

Detección de vulnerabilidades XSS

1. Detección manual

La detección manual se centra en considerar la ubicación de la entrada de datos, y es necesario dejar claro dónde se encuentra. Los datos de entrada se enviarán. Al comienzo de la detección, puede ingresar algunos caracteres confidenciales, como "<, >, ()", etc. Después del envío, verifique los cambios en el código fuente de la página web para encontrar dónde se genera el contenido de entrada y si el Los caracteres sensibles relevantes se filtrarán. Los resultados de la inspección manual son relativamente precisos, pero menos eficientes.

2. Detección de herramientas

Las herramientas más utilizadas incluyen AVWS (Acunetix Web Vulnerability Scanner), BurpSuite, etc. También existen algunas herramientas especializadas de detección de vulnerabilidades XSS, como XSSer, XSSF (Cross-site Scripting Framework), BeEF (Browser Exploitation Framework), etc.

上篇: ¿Qué significa plataforma umu? 下篇: simulación virtual VR (cuáles son las ventajas de la línea de producción de simulación virtual VR)

Artículos populares