存储型XSS与反射型XSS有什么区别?

存储型XSS与反射型XSS有什么区别?存储型XSS,持久化,代码是存储在服务器中的,如在个人信息或发表文章等地方,加入代码,如果没有过滤或过滤不严,那么这些代码将储存到服务器中,用户访问该页面的时候触发代码执行。这种XSS比较危险,容易造成蠕虫,盗窃cookie等。如:人人网又一大波蠕虫,位置在首页+登录就中招+通杀网页和人人桌面反射型XSS,非持久化,需要欺骗用户自己去点击链接才能触发XSS代码(服务器中没有这样的页

大家好,又见面了,我是你们的朋友全栈君。存储型XSS,持久化,代码是存储在服务器中的,如在个人信息或发表文章等地方,加入代码,如果没有过滤或过滤不严,那么这些代码将储存到服务器中,用户访问该页面的时候触发代码执行。这种XSS比较危险,容易造成蠕虫,盗窃cookie等。如:
人人网又一大波蠕虫,位置在首页+登录就中招+通杀网页和人人桌面








反射型XSS,非持久化,需要欺骗用户自己去点击链接才能触发XSS代码(服务器中没有这样的页面和内容),一般容易出现在搜索页面。


如下面这个点击弹出自己的在该网站的cookie:

search.bbs.tom.com/bbs.



具体概念,请楼主自行google,baidu。 这里我想说的是这个世界对于反射型xss是不公平的,不管是甲方还是乙方很多人相比存储型XSS更加bs反射型xss。其中一个比较大的理由就是说“反射型xss”要“点击”等交互,才能触发,其实“交互性”本身就是web2.0时代的一个显著的特点,也就是交互不交互在xss利用里并不是什么关键点。 一个很好的说明,我曾经在我们80vul的主站上挂了1年多的xss 都是反射的,只有一个人和我反馈过(当然可能有人发现了也没说啥) 

不过有一个点还是要强调的,反射的xss 因为url特征更加容易被防御。很多浏览器都有自己的xss过滤器。

存储型XSS也好,反射型XSS也罢。xss的本质问题就是让对方浏览器执行你插入的js 想明白这点后你发现 2者分类没太多的区别。

微博上有个博友 提出一个比喻:“地雷和枪比较的概念吧,一个要踩,一个要练好枪法。”

附上我的回文:“这个比喻是不怎么恰当的,反射也好存储xss也好,都是要对方浏览器访问并执行了你插入的js才行,说到底都2个都是雷,sql注射、远程溢出那说是枪比较恰当。竟然都是雷,你就得让敌人触发。而这个对于雷来说 就是它本身得一个特点,就好像交互性本来就是web2.0得特点一样”

版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 举报,一经查实,本站将立刻删除。

发布者:全栈程序员-用户IM,转载请注明出处:https://javaforall.cn/144115.html原文链接:https://javaforall.cn

【正版授权,激活自己账号】: Jetbrains全家桶Ide使用,1年售后保障,每天仅需1毛

【官方授权 正版激活】: 官方授权 正版激活 支持Jetbrains家族下所有IDE 使用个人JB账号...

(0)


相关推荐

  • 【JAVA】Java学习路线图「建议收藏」

    【JAVA】Java学习路线图「建议收藏」怎么学习Java,这是很多新手经常会问我的问题,现在我简单描述下一个Java初学者到就业要学到的一些东西:    首先要明白Java体系设计到得三个方面:J2SE,J2EE,J2ME(KJAVA)。J2SE,Java2PlatformStandardEdition,我们经常说到的JDK,就主要指的这个,它是三者的基础,属于桌面级应用开发,这部分如果学得好很容易拓展J2EE和J2ME。

  • Okio原理解析

    Okio原理解析随着越来越多的应用使用OKHttp来进行网络访问,我们有必要去深入研究OKHTTP的基石,一套更加轻巧方便高效的IO库okio。一、OKIO的介绍:okio是大名鼎鼎的square公司开发出来的,其是okhttp的底层io操作库。其相对于原生的JavaIO读写,更具有(1)紧凑的封装是对JavaIO/NIO的封装使用,支持文件读写,也支持Socket通信的读写,不需要再套上一系列的装饰类;(2)使用简单不用区分字符流或者字节流,也不用记住各种不同的输入/输出流,统统只有一个输入

  • 混合高斯背景建模原理_高斯图模型

    混合高斯背景建模原理_高斯图模型在运动目标检测提取中,背景目标对于目标的识别和跟踪至关重要。而建模正是背景目标提取的一个重要环节。前景是指在假设背景为静止的情况下,任何有意义的运动物体即为前景。运动物体检测的问题主要分为两类,摄像机固定和摄像机运动。对于摄像机运动的运动物体检测问题,比较著名的解决方案是光流法,通过求解偏微分方程求的图像序列的光流场,从而预测摄像机的运动状态。对于摄像机固定的情形,当然也可以用光流法,但是

  • 百度map android sdk3.5实现定位 并跳转的指定坐标,加入标记

    百度map android sdk3.5实现定位 并跳转的指定坐标,加入标记

  • 无法解析外部符号

    无法解析外部符号本人在写qt工程的时候遇到无法解析外部符号原因:只写了类声明,但还没有写实现类,造成调用时无法解析。解决方法,把还没有实现类的声明给注释掉。参考博客无法解析的外部符号考虑可能的原因:[0]出现无法解析可能是因为lib文件不正确,比如64位的编译配置,结果使用的是32位的lib包.[1]只写了类声明,但还没有写实现类,造成调用时无法解析[2]声明和定义没有统一,造成链接不一致,无法

  • android之IntentFilter的用法_Intent.ACTION_TIME_TICK在manifest.xml不起作用

    在模仿一个天气预报的widget时候,用到了IntentFilter,感觉在manifest.xml注册的receiver跟用代码写registerReceiver()的效果应该是相同的,于是想证明一下,就写了如下一段程序:MainActivity:public class MainActivity extends Activity { public static final i

发表回复

您的电子邮箱地址不会被公开。

关注全栈程序员社区公众号