XSS攻击的分类有哪些?
XSS攻击通常在用户访问目标网站时或者之后进行某项动作时触发并执行。根据攻击代码的存在地点及是否被服务器存储,并且根据XSS攻击存在的形式及产生的效果,可以将其分为以下三类。
1)反射型跨站攻击:涉及浏览器—服务器交互。
2)存储型跨站攻击:涉及浏览器—服务器—数据库交互。
3)DOM型跨站攻击:涉及浏览器—服务器交互。目前,可直接产生大范围危害的是存储型跨站攻击。攻击者可利用JS脚本编写各类型攻击,实现偷取用户Cookie、进行内网探测、弹出广告等行为。
攻击者构造的JS脚本会被存储型跨站漏洞直接存储到数据库中,一旦有人访问含有XSS漏洞的页面,则攻击者插入的JS脚本生效,攻击成功。接下来,我们会针对各类攻击及思路进行讲解。