存储的XSS意味着某些持久性数据(通常存储在数据库中)没有在页面中进行清理,这意味着每个人都可能受到此漏洞的影响。例如,想象一个论坛,在这个论坛上,用户的答案无法逃脱。如果有人发布带有HTML的主题,则访问主题页面的每个人都会受到影响!风险通常很重要,因为它会影响所有用户并迅速传播(一个典型的例子是Myspace XSS蠕虫,该蠕虫在20小时内影响了100万用户)。
相反,反映的XSS表示不会转存非持久性数据(通常是客户通过表单提交提供的数据)。例如,假设有一个搜索引擎,其中在结果列表页面中重新显示(而不是清除)搜索关键词。然后,您可以将html放在您的研究中,然后将其执行。尽管此漏洞的风险不太明显,但由于它仅影响进行注射的用户,因此也可能是一个问题。例如,如果恶意用户将带有注入的链接发送给受害者,并且受害者单击该链接。
| 归档时间: |
|
| 查看次数: |
5018 次 |
| 最近记录: |