XSS(跨站脚本漏洞)

XSS

xss跨站脚本特点就是能注入恶意的HTML/JS代码到用户浏览器，劫持用户会话 常用alert来验证网站存在漏洞

<script>alert("hello,yueda");</script>

简单的探测：

反射型XSS

• 验证网站是否过滤<>,在输入框输入test<testxss>,然后提交以后只显示test,说明<>可能被过滤这时候需要进一步验证，查看网站源文件,搜索testxss,如果可搜索到，那就表示<>是可以写入的
• 然后输入<script>alert("xss test");</script>就是一个最简单的反射型xss攻击。

持久型XSS

一般在评论框中输入以后，发现该语句不仅没有被过滤而且会被浏览器完整的显示出来，经过分析是因为别嵌入到中了所以可以先标签闭合，例如 这种攻击比较严重，假如该评论需要后台管理员审核的话，随着其他xss语句就可以造成更大的危害

下面这段代码是一个好的简洁的xss注入检测代码。在注入这段代码后，查看页面源代码寻找是否存在看起来像 这样的输入点从而判断是否存在xss漏洞。