Не стесняйтесь поправлять меня, если я ошибаюсь.Я сейчас немного смущен.Поэтому я думаю, что мой вопрос будет более понятным, если я объясню свое текущее понимание различия между DOM XSS и отраженным XSS.
Разница в DOM XSS и отраженном XSS заключается в том, где уязвимость заключается в приложении.В DOM XSS он находится в файлах HTML или скриптов, которые отправляются в браузер.В тех случаях, когда отраженный XSS нацелен на уязвимости в бэкэнде, он манипулирует внутренними запросами API или страниц, чтобы включить скрипты в запрошенный контент.Оба работают исключительно путем включения в ссылку вредоносного контента.
Как злоумышленник, как отличается подход к злоупотреблению уязвимыми сайтами при поиске DOM XSS вместо отраженных XSS-эксплойтов или наоборот?Если такая разница даже существует, и эти два термина предназначены только для того, чтобы различать, какая часть приложения была атакована?