本文共 695 字,大约阅读时间需要 2 分钟。
1.反射性xss:
它的攻击过程为当用户登录网站并获得web服务器颁发的cookie凭证时,这个时候用户点击了攻击者构造的url时,就会在服务器上请求攻击者的url,并在执行攻击者的url中的js代码,js代码会将用户的cookie通过提交给攻击者,从而攻击者就可以获得用户的身份信息。与xss不同的是csrf攻击的方式并不是获取用户的cookie达到攻击的目的,而是在用户在访问服务器获取cookie时,用户点击了攻击者精心构造的url,在用户毫不知情的情况下,在用户的电脑上以用户的身份执行了攻击者想要做的事情,在这一过程,攻击者并没有获得用户的cookie。
举一个小例子:用户刚刚访问了网上银行,这个时候这个用户点击了攻击者的url,攻击者往往构造一些具有吸引力的url诱导你去点击,到这个用户点击了攻击者构造的url时,就会以用户的身份向这个网上银行提交url中的表单,表单的内容很可能就是向攻击者的账户上转账,用户在查一下自己银行上的钱时,发现只有几毛钱,真的是欲哭无泪啊。转载地址:http://kjhzi.baihongyu.com/