XSS腳本跨站腳本漏洞包括:反射型XSS、存儲型XSS、DOM型XSS。
反射型XSS:攻擊者事先制作好攻擊鏈接,需要欺騙用戶自己去點擊鏈接才能觸發XSS代碼(服務器中沒有這樣的頁面和內容),壹般容易出現在搜索頁面。
代碼是存儲在服務器中的,如在個人信息或發表文章等地方,加入代碼,如果沒有過濾或過濾不嚴,那麽這些代碼將儲存到服務器中,每當有用戶訪問該頁面的時候都會觸發代碼執行,這種XSS非常危險,容易造成蠕蟲,大量盜竊cookie。
DOM型XSS:基於文檔對象模型(Document Objeet Model,DOM)的壹種漏洞。DOM是壹個與平臺、編程語言無關的接口,它允許程序或腳本動態地訪問和更新文檔內容、結構和樣式,處理後的結果能夠成為顯示頁面的壹部分。
XSS的危害
1、網絡釣魚,包括盜取各類用戶賬號。
2、竊取用戶cookie資料,從而獲取用戶隱私信息,或利用用戶身份進壹步對網站執行操作。
3、劫持用戶(瀏覽器)會話,從而執行任意操作,例如進行非法轉賬,強制發表日誌,發送電子郵件等。
4、強制彈出廣告頁面,刷流量等。
5、網頁掛馬。
6、進行惡意操作,例如任意篡改頁面信息,刪除文章等。
7、進行大量的客戶端攻擊,如DDOS攻擊。
8、獲取客戶端信息,例如用戶的瀏覽歷史,真實ip,開放端口等。
9、控制受害者機器向其他網站發起攻擊。
10、結合其他漏洞進壹步擴大攻擊。
11、提升用戶權限,包括進壹步滲透網站。