- xss分类主要分为两大类型:一是反射型跨站脚本;二是持久性跨站脚本。
- 流程图:
- 反射型XSS通常出现在网站的搜索栏、用户登入口等地方,常用来窃取客户端Cookies或进行钓鱼欺骗;黑客在发动此类跨站脚本前回进行编码,还可以分别使用十进制、十六进制、ESCAPE等各种编码来迷惑对方;
- 持久性XSS一般出现在网站的留言、评论、博客日志等交互处,恶意脚本被存储在客户端或服务器的数据库中。
- 在测试XSS的过程中,我们经常要尝试各种XSS输入,以绕过服务端程序对跨站脚本的过滤。相关网址:http://drops.wooyun.org/tips/1955