XSS 攻击是 Web 中很常见的攻击,其原理有点类似与 SQL 注入,改变了原来的执行逻辑。之前了解过一些 XSS,但是没有去具体实现,刚刚拿学校的网站做了下 XSS 攻击,成功的给图书馆网站下了毒+_+…
XSS 攻击大概可以分为两种,一种是非持久型攻击,这一般只会影响个体用户,不会造成长期的影响,另一种为持久型攻击,也就是我们要讲的这种,将我们的代码注入到目标服务器页面上,所有访问这个页面的用户都会被攻击。其实之前没有去具体实现因为比较“出名”的网站一般在防 XSS 上做的比较完善,不好去找漏洞,所以才拿学校网站做测试(以前经常这样干抓数据什么的。。。),在最后我们实现的是向页面中注入自己的 js 代码,并将访问该页面用户的 cookie 信息传到我自己的服务器上。