热门标签
热门文章
- 1Webpack 解决:Error: error:0308010C:digital envelope routines::unsupported 的问题_\node_modules\webpack\hot\dev-server.jserror: erro
- 2IPOP 使用详解 (附IPOP工具包)
- 3java浪漫代码_30条代码,拿去“表白”
- 416个推荐系统开放公共数据集整理分享_推荐系统无偏数据集
- 5直播间场控机器人,暖场滚屏喊话神器,支持抖音快手视频号脚本教程_直播暖场神器
- 6【干货】2024年《Palworld/幻兽帕鲁》自建服务器详细教程
- 7CentOS 7 配置ssh免密码登录_source of key(s) to be installed
- 8gitLab配置ssh实现私钥访问_gitlab ssh
- 9nginx常用功能介绍_nginx功能
- 10网络协议——七层、五层、四层协议概念及功能_七层协议和四层协议
当前位置: article > 正文
存储型XSS与反射型XSS有什么区别?_存储型xss漏洞和反射型xss漏洞区别
作者:Cpp五条 | 2024-02-27 04:55:58
赞
踩
存储型xss漏洞和反射型xss漏洞区别
存储型XSS,持久化,代码是存储在服务器中的,如在个人信息或发表文章等地方,加入代码,如果没有过滤或过滤不严,那么这些代码将储存到服务器中,用户访问该页面的时候触发代码执行。这种XSS比较危险,容易造成蠕虫,盗窃cookie等。如:
人人网又一大波蠕虫,位置在首页+登录就中招+通杀网页和人人桌面
反射型XSS,非持久化,需要欺骗用户自己去点击链接才能触发XSS代码(服务器中没有这样的页面和内容),一般容易出现在搜索页面。
如下面这个点击弹出自己的在该网站的cookie:
反射型XSS,非持久化,需要欺骗用户自己去点击链接才能触发XSS代码(服务器中没有这样的页面和内容),一般容易出现在搜索页面。
如下面这个点击弹出自己的在该网站的cookie:
具体概念,请楼主自行google,baidu。 这里我想说的是这个世界对于反射型xss是不公平的,不管是甲方还是乙方很多人相比存储型XSS更加bs反射型xss。其中一个比较大的理由就是说“反射型xss”要“点击”等交互,才能触发,其实“交互性”本身就是web2.0时代的一个显著的特点,也就是交互不交互在xss利用里并不是什么关键点。 一个很好的说明,我曾经在我们80vul的主站上挂了1年多的xss 都是反射的,只有一个人和我反馈过(当然可能有人发现了也没说啥)
不过有一个点还是要强调的,反射的xss 因为url特征更加容易被防御。很多浏览器都有自己的xss过滤器。
存储型XSS也好,反射型XSS也罢。xss的本质问题就是让对方浏览器执行你插入的js 想明白这点后你发现 2者分类没太多的区别。
微博上有个博友 提出一个比喻:“地雷和枪比较的概念吧,一个要踩,一个要练好枪法。”
附上我的回文:“这个比喻是不怎么恰当的,反射也好存储xss也好,都是要对方浏览器访问并执行了你插入的js才行,说到底都2个都是雷,sql注射、远程溢出那说是枪比较恰当。竟然都是雷,你就得让敌人触发。而这个对于雷来说 就是它本身得一个特点,就好像交互性本来就是web2.0得特点一样”
声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/Cpp五条/article/detail/150187
推荐阅读
相关标签
