一、XSS的原理
用户提交的数据没有过滤,或者过滤不严格,输出到网页中,导致可以构造执行JS代码,
或者修改网页内容。
二、XSS的危害
1.XSS没有危害,很少有人去关注它。
2.对于那些半年没有更新的小企业网站来说,发生XSS漏洞几乎没有什么用
3.但是在各类的社交平台,邮件系统,开源流行的Web应用,BBS,微博等场景中,
造成的杀伤力却十分强大。(场景十分重要)
比如:
盗取用户或者管理员的Cookie
XSS Worm(蠕虫)
挂马(水坑攻击)
有局限性的键盘记录
...
三、XSS的分类
反射型XSS
存储型XSS
DOM XSS
Flash XSS