反射型XSS、存储型XSS及DOM型XSS到底有什么区别?????「建议收藏」

反射型XSS、存储型XSS及DOM型XSS到底有什么区别?????「建议收藏」被攻击者是单一解析地方不同存储时间不同允许点的不同

大家好,又见面了,我是你们的朋友全栈君。

要想知道一种东西的区别,那么就得知道其的概念,这个链接是对三种XSS概念的解析:链接在此

假设读者已经明白了XSS的概念以及三个类型XSS的原理了,那么我们就来对比下他们之间的不同!

一、被攻击对象的不同

反射型XSS的被攻击对象一般是攻击者去寻找的,就比如说:一个攻击者想盗取A的QQ号,那么攻击者就可以将一个含有反射型XSS的URL链接给A,此时我们可以看出,需要将特定的URL,注意是特定的URL给A,当A点击进入链接时,就受到XSS攻击,所以这种攻击范围不是特别的广。

而存储型XSS是广撒网的方式或者指定的方式,就是攻击者将存储型XSS放在一些有XSS漏洞的网站上,只要有用户访问这个链接就会中招,而攻击者也可以寻找被攻击对象,比如说上面的例子,所以我们可以看出,存储型XSS的危害性更大,范围更广,可以不需要寻找被攻击对象,只要存储型XSS在服务器上就能实施攻击。

DOM型XSS的被攻击对象其实和反射型XSS被攻击对象差不多,就是给攻击对象放送URL。

二、解析位置不同(个人感觉是反射型与存储型区别的本质)

反射型XSS的脚本被解析的地方是浏览器,而存储型XSS的脚本被解析的地方是服务器,DOM型XSS也是浏览器,所以DOM型又叫DOM反射型XSS。但是反射型XSS需要联网,而DOM型不需要!

三、存储时间不同

反射型XSS是既有即用,没有持久性,而存储型XSS是存储在服务器上,只要服务器不挂机或者是被干掉,就一直会有,DOM型XSS和反射型差不多,但是用人就扯淡了,那反射型只要不改变源代码不就是一直存在吗?不是的,反射型XSS是必须得特定的URL才能使得被攻击对象中招,如果是单单官方网页,就没有了咯,存储型就不同,只要服务器里面有存储型XSS,不论是不是官网,被攻击对象都会被攻击。

四、允许输入点的不同(这是DOM型与其他两种的区别)

一般情况下,反射型XSS在搜索框啊,或者是页面跳转啊这些地方,而存储型XSS一般是留言,或者用户存储的地方,而DOM呢?是在DOM位置上,不取决于输入环境上。

以上只是个人观点,如果有什么不妥可以联系我!我会及时改正!

版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 举报,一经查实,本站将立刻删除。

发布者:全栈程序员-用户IM,转载请注明出处:https://javaforall.cn/135116.html原文链接:https://javaforall.cn

【正版授权,激活自己账号】: Jetbrains全家桶Ide使用,1年售后保障,每天仅需1毛

【官方授权 正版激活】: 官方授权 正版激活 支持Jetbrains家族下所有IDE 使用个人JB账号...

(0)


相关推荐

  • 小精灵无尽的长廊_绝顶高手的养成日常

    小精灵无尽的长廊_绝顶高手的养成日常推荐:巫医觉醒https://www.guibuyu.org/。华夏北方,临近东海的不知名小城里,有绵延不尽的山峰耸立。其中一座,造型独特,神似一位席地而坐头戴鹤勉的君王模样,被当地的村名唤作“唐王山寨”。唐王山寨并不算高,只有大约300米的高度,在山峰环绕的小城里,不太显眼。正值夏季,正午的灼热阳光肆意挥洒,通往唐王山寨的油柏小路,蒸腾出肉眼可见的水雾,和着沥青独有的气息,飘荡远方。沿着小路一路…

  • bug生命周期的状态

    bug生命周期的状态从一个bug被发现到这个bug被关闭这一段时间,bug可能会有以下状态:new,openPostpone,PendingRetest,Retest,PendingReject,Reject,Deferred,closed.(请注意这里有很多种状态,我们需要根据不同情况来决定怎样或者是否需要跟开发人员沟通)  下面就对这几种状态进行以下解释:  New:(新的)  当

  • Linux quotacheck失败

    Linux quotacheck失败  我找了多少个帖子才发现解决这个问题的啊…最终还是靠FQ找的这位大佬的文章http://www.2daygeek.com/quotacheck-error/#  当我在执行quotacheck-avug的时候出现如下的错误:quotacheck:无法从/dev/sdb1上的文件名猜测其格式,请在命令行中指定一个确切的格式。quotacheck:Ca…

    2022年10月22日
  • JAVA设计模式初探之适配器模式

    1. 概述  将一个类的接口转换成客户希望的另外一个接口。Adapter模式使得原本由于接口不兼容而不能一起工作的那些类可以在一起工作。2. 解决的问题  即Adapter模式使得原本由于接口不兼容而不能一起工作的那些类可以在一起工作。      下面是两个非常形象的例子             3. 模式中的角色  3.1 目标接口(Target):客户所期待的接

  • π弧度转化成角度为_角度化成弧度公式

    π弧度转化成角度为_角度化成弧度公式这两天在看同事写的四叉树代码,其中用到了孤度和角度之间的转换,所以转载此文章进行了学习弧度与角度的关系一、角的两种单位“弧度”和“度”是度量角大小的两种不同的单位。就像“米”和“市尺”是度量长度大小

  • GB2312编码_gb2312是简体中文的编码格式

    GB2312编码_gb2312是简体中文的编码格式在区码和位码的基础上,分别加上0XA0的偏移,便是GB2312编码;我们制作ASCII字库时,一般只做可以显示出来的字符字模,前面命令型的ASCII字符,我们不做字模,即从“空格开始”,ASCII表

发表回复

您的电子邮箱地址不会被公开。

关注全栈程序员社区公众号