BeEF+DVWA靶场XSS漏洞攻击简单入门实践

免责声明：本公众号安全类、工具类文章仅用于安全学习、安全研究、技术交流，内容来源于互联网已公开内容，若读者利用此文所提供的信息而造成的任何直接或间接的后果和损失，均由读者本人负责，文章作者不承担任何责任。请遵守相关网络安全法律法规，禁止非法用途!

一、跨站脚本攻击概念介绍

跨站脚本（cross site script）为了避免与样式css混淆，所以简称为XSS。

XSS是一种经常出现在web应用中的计算机安全漏洞，也是web中最主流的攻击方式。

那什么是XSS呢？

XSS是指恶意攻击者利用网站没有对用户提交数据进行转义处理或者过滤不足的缺点，进而添加一些代码，嵌入到web页面中去。使别的用户访问都会执行相应的嵌入代码，从而盗取用户资料、利用用户身份进行某种动作或者对访问者进行病毒侵害的一种攻击方式。

一句话解释：跨站脚本攻击是指恶意攻击者往Web页面里插入恶意Script代码，当用户浏览该页之时，嵌入其中Web里面的Script代码会被执行，从而达到恶意攻击用户的目的。

XSS攻击的危害包括：

• 1、盗取各类用户帐号，如机器登录帐号、用户网银帐号、各类管理员帐号
• 2、控制企业数据，包括读取、篡改、添加、删除企业敏感数据的能力
• 3、盗窃企业重要的具有商业价值的资料
• 4、非法转账
• 5、强制发送电子邮件
• 6、网站挂马
• 7、控制受害者机器向其它网站发起攻击

XSS主要原因：过于信任客户端提交的数据

二、XSS主要分类：