¿Qué significa xss? Introducción a xss.
Los ataques XSS se pueden dividir en tres tipos: reflexión, almacenamiento y DOM.
XSS reflectante:
También conocido como XSS no persistente, este método de ataque suele ser un ataque único.
Método de ataque: el atacante envía un enlace malicioso que contiene código XSS al usuario objetivo por correo electrónico. Cuando el usuario objetivo accede al enlace, el servidor recibe la solicitud del usuario objetivo y la procesa, y luego el servidor envía los datos con el código XSS al navegador del usuario objetivo. Después de que el navegador analice este script malicioso con código XSS, se activará la vulnerabilidad XSS.
XSS almacenado:
El XSS almacenado también se denomina XSS persistente. El script de ataque se almacenará permanentemente en la base de datos o archivo del servidor de destino y está altamente oculto.
Método de ataque: este tipo de ataque es común en foros, blogs y foros de mensajes. Durante el proceso de publicación, el atacante inyecta scripts maliciosos en el contenido de la publicación junto con información normal. Dado que el servidor guarda las publicaciones, el script malicioso se almacena permanentemente en la memoria backend del servidor. Cuando otros usuarios ven esta publicación con un script malicioso, el script malicioso se ejecuta en sus navegadores.
DOM XSS
El nombre completo de DOM es Document Object Model. El uso de DOM permite que los programas y scripts accedan y actualicen dinámicamente el contenido, la estructura y el estilo del documento.
DOM XSS es en realidad un tipo especial de XSS reflejado, que es una vulnerabilidad basada en el modelo de objetos de documento DOM.
Las etiquetas HTML son nodos, y estos nodos constituyen la estructura general del árbol de nodos DOM. A través de HTML DOM, se puede acceder a todos los nodos del árbol a través de JavaScript. Todo el HTML (nodos) se puede modificar y los nodos se pueden crear o eliminar.