据我所知,XSS漏洞可用于在受害者的浏览器中执行一段javascript代码。
它可以被利用的一个显而易见的方法是它是否可以用来危害受害者的cookie。甚至可能加载一个服务于恶意软件的iframe。
还有其他方法可以利用XSS吗?
答案 0 :(得分:0)
我将通过引用OWASP Cross-site Scripting (XSS)文章的 XSS攻击后果部分来回答。
[...]不要误以为“只读”或“宣传品”网站不容易受到严重反映的XSS攻击。 XSS可能会给最终用户带来各种问题,严重程度从烦恼到完全帐户泄露。最严重的XSS攻击涉及泄露用户的会话cookie,允许攻击者劫持用户的会话并接管帐户。其他破坏性攻击包括最终用户文件的泄露,特洛伊木马程序的安装,将用户重定向到其他页面或站点,或修改内容的呈现。允许攻击者修改新闻稿或新闻项的XSS漏洞可能会影响公司的股价或降低消费者信心。制药网站上的XSS漏洞可能允许攻击者修改剂量信息,导致过量服用。有关这些类型的攻击的更多信息,请参阅Content Spoofing。
更具体地回答您的问题,如果攻击者可以将javascript注入页面。他还可以更改DOM,并欺骗用户安装恶意软件或传播假新闻。