反射XSS:攻擊者事先制作攻擊鏈接,並需要誘騙用戶點擊鏈接以觸發XSS代碼(服務器中沒有這樣的頁面和內容),這通常很容易出現在搜索頁面上。
代碼存儲在服務器中。例如,如果您在個人信息或發布的文章等地方添加代碼,如果它們未被過濾或未被過濾,這些代碼將存儲在服務器中,每當用戶訪問該頁面時,都會觸發代碼執行。這個XSS很危險,很容易生蟲子,偷走很多餅幹。
多姆XSS:基於文檔對象模型(DOM)的漏洞。DOM是壹個獨立於平臺和編程語言的接口,它允許程序或腳本動態訪問和更新文檔內容、結構和樣式,處理後的結果可以成為顯示頁面的壹部分。
XSS的危害
1,網絡釣魚,包括竊取各種用戶帳戶。
2.竊取用戶的cookie信息以獲取用戶的隱私信息,或使用用戶的身份進壹步操作網站。
3.劫持用戶(瀏覽器)的會話,從而執行任意操作,如非法傳輸、強制發布日誌、發送電子郵件等。
4.強行彈出廣告頁面、刷流量等。
5、網頁掛馬。
6.進行惡意操作,如隨意篡改頁面信息、刪除文章等。
7.進行大量客戶端攻擊,如DDOS攻擊。
8.獲取客戶端信息,如用戶的瀏覽歷史、真實ip、開放端口等。
9.控制受害者的機器攻擊其他網站。
10,結合其他漏洞進壹步擴大攻擊範圍。
11.增強用戶權利,包括進壹步滲透網站。