¿Qué significa xss? Introducción al significado de xss
Cross-Site Scripting, el nombre completo en inglés es Cross-Site Scripting, también conocido como XSS o cross-site scripting o ataque de cross-site scripting, es una tecnología de ataque de vulnerabilidad de seguridad dirigida a aplicaciones de sitios web. Es una especie de inyección de código. Permite a usuarios malintencionados inyectar código en páginas web que podrían afectar a otros usuarios mientras navegan por la web. Después de que un usuario malintencionado ataca con éxito utilizando código XSS, puede obtener diversos contenidos, como permisos elevados (como realizar algunas operaciones), contenido web privado, sesiones y cookies.
Los ataques XSS se pueden dividir en tres tipos: tipo reflexión, tipo almacenamiento y tipo DOM.
XSS reflejado:
También conocido como XSS no persistente, este método de ataque suele ser único.
Método de ataque: el atacante envía enlaces maliciosos que contienen código XSS a los usuarios por correo electrónico. Cuando el usuario objetivo accede al enlace, el servidor recibe la solicitud del usuario objetivo y la procesa, luego envía los datos con el código XSS al navegador del usuario objetivo. Después de que el navegador analiza el script malicioso con el código XSS, se producirá una vulnerabilidad XSS. ser activado.
XSS almacenado:
El XSS almacenado también se denomina XSS persistente. El script de ataque se almacenará permanentemente en la base de datos o archivo del servidor de destino y es altamente ocultable.
Método de ataque: este tipo de ataque es más común en foros, blogs y foros de mensajes. Durante el proceso de publicación, el atacante inyecta scripts maliciosos en el contenido de la publicación junto con información normal. A medida que el servidor guarda la publicación, el script malicioso se almacena permanentemente en el almacenamiento backend del servidor. Cuando otros usuarios vean esta publicación a la que se le ha inyectado un script malicioso, el script malicioso se ejecutará en sus navegadores.
DOM tipo XSS
DOM significa Modelo de objetos de documento. El uso de DOM permite a los programas y scripts acceder y actualizar dinámicamente el contenido, la estructura y el estilo del documento.
El XSS de tipo DOM es en realidad un tipo especial de XSS reflejado, que es una vulnerabilidad basada en el modelo de objetos de documento DOM.
Las etiquetas HTML son nodos, y estos nodos constituyen la estructura general del DOM: el árbol de nodos. A través de HTML DOM, se puede acceder a todos los nodos del árbol a través de JavaScript. Todo el HTML (nodos) se puede modificar y los nodos se pueden crear o eliminar.