Stored Cross-Site Scripting,跟之前提過的Reflected Cross-Site Scripting一樣是屬於XSS弱點,
兩者的區別在於,Reflected Cross-Site Scripting是需要透過受害者自行執行來達成(例如在瀏覽器貼上被塞了惡意腳本的url)
Stored Cross-Site Scripting則是攻擊者透過網站漏洞直接將惡意腳本,儲存在Server端,造成只要瀏覽到攻擊者上傳的內容的人直接中招。
最經典的例子就是攻擊者在有Stored Cross-Site Scripting弱點的論壇發文,將惡意腳本藏在標題或內文中,由於網站開發人員沒有做好檢核,導致所有看到攻擊者發表的內容的人,都在不知不覺中被執行了攻擊者埋下的惡意腳本。
iThome鐵人賽
看影片追技術