📜  存储跨站脚本和反射跨站脚本的区别

📅  最后修改于: 2021-08-25 10:44:07             🧑  作者: Mango

跨站点脚本是一种客户端攻击,黑客将恶意代码注入易受攻击的 Web 应用程序或网站。这种攻击会对业务和客户造成巨大的损害,后果可能包括-密码窃取、重定向到恶意站点、页面内容修改等。如果攻击者获得了经过身份验证的用户的会话cookie,他可以冒充自己作为已验证用户并代表已验证用户继续执行任务。 XSS 漏洞已被用于创建社交网络蠕虫、传播恶意软件、破坏网站和网络钓鱼以获取凭据。

跨站点脚本有两种类型:

  1. 存储的 XSS。
  2. 反射型 XSS。

1.存储型XSS:黑客直接将恶意代码注入数据库或服务器的漏洞。在这里,应用程序或网站从未经授权的来源接收恶意数据或代码,并将其存储在系统中而不进行检查。当受害者在浏览器中打开受影响的网页时,XSS 攻击代码作为 HTML 代码的一部分显示给受害者的浏览器(就像合法的评论一样)。因此,一旦在浏览器中查看页面,受害者最终将执行恶意脚本。

2.反射型XSS:该漏洞允许黑客以HTML代码的形式将恶意代码注入受害者的浏览器。用户只有在点击代码时才会感染代码。与存储型 XSS 相比,反射型 XSS 的危险性较小,因为恶意内容不会永久存储在数据库/服务器中。攻击者可以通过多种方式诱使受害用户发出他们控制的请求,以进行反射型 XSS 攻击。这些包括在攻击者控制的网站上放置链接,或通过在电子邮件、推文或广告弹出窗口中发送链接。

STORED XSS                  

                        REFLECTED XSS                                                                         

Also known as permanent XSS. Also known as temporary XSS.
Malicious code is stored in the application. Malicious code is not stored in the application.
Causes more damage to the web application or website. Causes less damage to the web application or website.
Targets all users using the web application or website. Targets few users using the web application or website.
The malicious code is activated when the victim visits the Compromised web page. The malicious code is activated after a link is clicked.
Harder to perform. Easier to perform.