Security XSS可以在服务器上执行吗？

嗨，XSS攻击被视为来自客户端计算机的攻击。但是有没有办法通过服务器进行XSS攻击

---

我想知道是否有任何方法可以使用客户端接口（如SQL注入）在服务器上执行代码，但这里不是数据库服务器，而是简单的Web服务器或应用程序服务器。

XSS或SQL注入等漏洞是一个更普遍问题的具体实例：不正确地将攻击者可控制的文本连接到其他格式（例如SQL、HTML或Javascript）

---

如果您的服务器运行任何此类格式（例如，

eval（）

），它可能会有类似的漏洞。

有时，也可能使用XSS作为载体来触发和利用跨站点请求伪造（）攻击

在网站上使用XSS就像控制用户访问时将执行的javascript一样。如果管理员偶然发现您的XSS代码（通过发送恶意链接或通过存储的XSS），那么您可能会让他或她在Web服务器上执行普通用户通常无法访问的请求或操作。如果您对网页布局非常了解，您可以代表访问者请求网页（后端、用户列表等），并将结果发送（过滤）到Internet上的任何位置

您还可以使用更高级的攻击框架，例如尝试利用访问者浏览器中的漏洞进行攻击。如果所讨论的访问者是网站管理员，这可能会产生有趣的信息来进一步攻击Web服务器

---

XSS本身不允许您在服务器上执行代码，但它是利用web应用程序上存在的其他漏洞的一个很好的载体。

您的问题的答案并不完全简单

具体地说，不，您不能通过接口注入代码来攻击使用XSS的服务器

但是，有一些方法可以通过其接口将代码“注入”到服务器中，并让服务器运行它。这些技术差异很大，并且高度依赖于实现

例如，有一个web应用程序允许用户上传图像文件以供显示。web应用程序具有“修饰”图像的代码。修补代码中存在漏洞。恶意用户上载了一个精心准备的恶意.jpg文件，该文件溢出了代码中的缓冲区，并向攻击者的机器铲下了一个外壳。在这种情况下，攻击是通过界面向web应用程序“注入”代码进行的

---

只要您从不处理用户输入（除了将其存储在数据库中并返回给其他用户），那么您就应该可以非常安全地避免这种类型的攻击。可能99%的web应用程序需要更加担心用户对其他用户的XSS攻击，而不是针对自身的代码注入攻击。

大多数简单应用程序仍然使用数据库。您可能对