XSS跨站脚本漏洞攻击原理及分类张月网络安全与防护第六章web漏洞攻击69课件讲解.pptxVIP

张月XSS跨站脚本漏洞攻击原理及分类主讲教师网络安全与防护第六章web漏洞攻击

目录CONTENTS01课程导读PART02本课内容PART03课后作业PART

课程导读Part01

一、课程导读在当今数字化时代，网络安全至关重要，而XSS跨站脚本漏洞是web应用中常见且危害较大的安全隐患之一。?当你在某个网站愉快地浏览信息、发表评论时，可能不知不觉中就陷入了XSS攻击的陷阱，导致个人信息泄露、账号被盗等问题。?

本课内容Part02

XSS跨站脚本漏洞，全称Cross-SiteScripting，为了和CSS（层叠样式表）区分，故简称XSS。?其攻击原理简单来说，就是攻击者利用web应用程序对用户输入数据验证不严格的漏洞，将恶意的脚本代码（通常是JavaScript）注入到网页中。当其他用户浏览该被注入恶意代码的网页时，恶意脚本就会在用户的浏览器中被执行，从而达到攻击者的目的，比如窃取用户的Cookie信息、会话令牌，篡改网页内容，甚至控制用户的浏览器等。?二、本课内容1.XSS跨站脚本漏洞攻击原理诱导用户发送请求攻击者受害用户网站服务器用户向网站提交带有跨站代码的请求网站在返回的页面中插入跨站的脚本

二、本课内容2.XSS跨站脚本漏洞分类根据恶意脚本的存储和执行方式不同，XSS跨站脚本漏洞主要分为以下三类：（1）存储型XSS?存储型XSS，也称为持久型XSS。它的特点是攻击者注入的恶意脚本会被永久存储在目标服务器的数据库或文件中。当用户访问包含这些恶意脚本的页面时，恶意脚本会被从服务器中取出并执行。?存储型XSS

二、本课内容2.XSS跨站脚本漏洞分类根据恶意脚本的存储和执行方式不同，XSS跨站脚本漏洞主要分为以下三类：（2）反射型XSS?反射型XSS，又称非持久型XSS。这种类型的XSS中，攻击者注入的恶意脚本并不会被存储在服务器中，而是通过引诱用户点击一个包含恶意脚本的URL来触发。?当用户点击该URL时，恶意脚本会作为参数被发送到服务器，服务器对该参数处理后，又将包含恶意脚本的响应返回给用户浏览器，从而导致恶意脚本被执行。?

二、本课内容2.XSS跨站脚本漏洞分类根据恶意脚本的存储和执行方式不同，XSS跨站脚本漏洞主要分为以下三类：（3）DOM型XSS?DOM型XSS是一种特殊的XSS，它的攻击不涉及服务器端，而是基于文档对象模型（DOM）的漏洞。?攻击者利用网页中的JavaScript代码对DOM进行操作时存在的安全缺陷，注入恶意脚本。当用户的浏览器解析网页并执行相关JavaScript代码时，恶意脚本会被执行，从而改变页面的DOM结构，达到攻击目的。?比如网页中的JavaScript代码从URL参数中获取值并直接用于修改DOM元素，如果对该参数没有进行过滤，攻击者就可以构造特殊的URL参数，注入恶意脚本。

课后作业Part03

三、课后作业简述XSS跨站脚本漏洞的攻击原理。分别说明存储型XSS、反射型XSS和DOM型XSS的特点和典型应用场景。?12思考一下，在实际的web开发中，我们可以采取哪些措施来防范XSS跨站脚本漏洞攻击呢？?3

THANKYOU感谢观看网络安全与防护