XSS※
什么是XSS※
指的是一种前端网页的漏洞,通过javascript代码注入的方式实现。
它能够实现攻击者将指定的代码注入到这个网页中,其他人访问的时候也会执行这一段代码,从而达到实现请求某个固定的API地址,窃取document中的cookie等信息
XSS的分类※
分为反射性XSS、存储型XSS、DOMXSS
反射性XSS※
反射性就是直接不经过后端,直接前台注入
攻击管理员BOT※
很多 CTF 题里都会有一个 管理员机器人程序,它会自动访问用户提交的链接。
常见规则:
每隔15秒访问一次或者:
用户提交举报链接
管理员Bot访问Bot 的特点:
使用管理员账号登录
有管理员cookie
可以访问后台所以它访问页面时,相当于:
管理员在浏览器里打开了你的页面存储型XSS※
存储型的特征是会存入数据库,其他人可以通过一个固定的连接访问这个地址,就会被执行前端代码
DOMXSS※
是通过前端页面的标签(location.hash)实现注入代码的一种攻击
