Web应用安全：存储型XSS.pptx

存储型XSS攻击流程 存储型XSS简介 存储型XSS是一种将恶意代码保存到服务器端的攻击方式，如在个人信息或发表文章等地方，插入代码，每当有用户访问包含恶意代码的页面时，就会触发代码的执行，从而达到攻击目的。 有别于反射型XSS编写一次代码只能进行一次攻击的特点，存储型XSS的恶意脚本一旦存储到服务器端，就能多次被使用，称之为“持久型XSS”。 存储型XSS简介 1.存储型XSS的攻击原理 1.攻击者在交互页面输入恶意代码，然后提交到web程序，如果web程序对输入内容没有做XSS的防范，就会将恶意代码存储到数据库中。 2.接下来只要有用户去访问和查看攻击者提交的内容，当web应用响应用户请求时，恶意代码就会从服务端读取出来并执行。 3.因此，存储在服务端的恶意代码可以多次攻击不同的用户。 4.例如，有一个发表动态的网站，攻击者可以在发表动态的表单中提交恶意代码，其他用户去查看攻击者的这条动态消息的时候，这些恶意脚本从服务端加载下来，被浏览器所解析和执行。 存储型XSS简介 2.存储型XSS与反射型XSS的不同点 存储型XSS攻击有时候只需要用户浏览界面就能被攻击，二反射型XSS还需要