XSS跨站脚本攻击，（非常详细）从零基础到精通，收藏这篇就够了！

惊天揭秘！XSS跨站脚本攻击：黑客是如何在你眼皮底下“偷梁换柱”的？

还在傻傻分不清XSS？别out啦！这可是网络安全界的“老司机”必备技能。想知道黑客如何利用XSS漏洞，在你浏览网页的时候，悄悄“搞事情”吗？赶紧上车，带你一探究竟！

1. XSS是啥？别慌，一句话给你说明白！

跨站脚本攻击（Cross-Site Scripting，XSS），说白了就是黑客往你的网页里“塞”了一段恶意代码，然后你的浏览器就像中了病毒一样，乖乖执行这些代码。结果嘛，轻则信息泄露，重则账号被盗，简直防不胜防！

XSS攻击，花样还挺多，主要分以下几种：

• 反射型XSS攻击： 这种攻击就像“回音壁”，你输入啥，它就反射啥。黑客通过构造恶意链接，诱骗你点击，然后恶意脚本就会在你浏览器里“Duang”的一下执行起来。

Note：记住，恶意脚本就藏在URL链接里！

• 存储型XSS攻击： 这种攻击更阴险，黑客直接把恶意脚本“存”到网站的数据库里。你访问网页的时候，这些恶意脚本就像“定时炸弹”一样，自动引爆。

Note：恶意脚本已经“入住”网站后台，想想都可怕！

• DOM型攻击： 这种攻击有点“技术流”，利用浏览器解析HTML文档的DOM（文档对象模型）机制，注入恶意脚本。简单来说，就是黑客修改了网页的“骨架”，让你在不知不觉中“中招”。

Note：DOM就像网页的“骨架”，黑客直接修改“骨架”，太可怕了！ 文档对象模型（DOM）是web浏览器对页面上元素的分层表示。网站可以使用JavaScript来操作DOM的节点和对象以及它们的属性。DOM操作本身不是问题。事实上，它是现代网站工作方式的一个组成部分。然而，不安全地处理数据的JavaScript可能会引发各种攻击。当网站包含JavaScript，该JavaScript获取攻击者可控制的值（称为source），并将其传递给危险的函数（称为sink）时，就会出现基于DOM的漏洞。

2. XSS攻击原理：黑客是如何“瞒天过海”的？

XSS攻击的套路是这样的：黑客先找到有漏洞的网站，然后想方设法把恶意JavaScript脚本“塞”进去。当你访问这个网站时，恶意脚本就会在你浏览器里执行，黑客就可以为所欲为了！

3. XSS攻击的“杀伤力”有多大？

• 信息泄露： 你的账号密码、银行卡号、身份证号等敏感信息，都可能被黑客“打包”带走。
• 操纵用户行为： 黑客可以冒充你发帖、评论、点赞，甚至控制你的鼠标键盘，简直细思极恐！
• 跨站钓鱼： 黑客伪装成“官方”网站，诱骗你输入账号密码，然后你的账号就“落入敌手”了。

4. XSS攻击的“高发地带”

• HTML标签之间： 黑客可能会插入新的HTML标签，比如<script>alert(document.domain)</script>，直接执行JavaScript代码。
• HTML标签属性中： 黑客可能会修改HTML标签的属性，比如"><script>alert(document.domain)</script>，同样可以执行JavaScript代码。
• 已有JS代码中：

Note：浏览器在解析HTML代码时，会先进行HTML解码，然后再处理属性值。 如果网站对某些字符进行了过滤，黑客可以通过HTML编码绕过这些限制。

• 终止已有脚本，比如</script><img src=1 onerror=alert(document.domain)>，让浏览器执行新的脚本。
• 终止已有字符串，如\';alert(document.domain)//，破坏原有的JavaScript代码，插入恶意代码。
• 使用HTML编码，如'-alert(document.domain)-'，转义为为'-alert(document.domain)-'，绕过过滤。

5. XSS攻击“三步走”

• 第一步： 找到XSS注入点，比如搜索框、评论框、留言板等，只要是用户可以输入的地方，都可能存在XSS漏洞。
• 第二步： 注入随机字符串，观察字符串在网页中的显示位置，判断XSS上下文。
• 第三步： 根据上下文环境，构造XSS payload，也就是恶意代码。
• 第四步： 想办法绕过网站的防御机制，成功执行XSS攻击。

6. 如何“见招拆招”，防御XSS攻击？

• 1. 输入验证： 对用户输入的内容进行严格检查，就像安检一样，不符合规定的“一律没收”。可以使用正则表达式、数据类型检查等方式，过滤掉恶意代码。
• 2. 输出编码： 在将用户数据展示在网页上之前，进行适当的编码，就像给数据穿上“防护服”，防止恶意代码执行。常用的编码方式有HTML实体编码、JavaScript编码等。
• 3. 内容安全策略（CSP）： CSP就像一道“防火墙”，可以限制浏览器执行哪些来源的脚本。通过在服务器端设置CSP策略，可以有效防止XSS攻击。
• 4. XSS Filter： 使用一些现成的XSS过滤工具，就像“杀毒软件”一样，自动检测和拦截恶意脚本。
• 5. 安全编码规范： 遵循安全编码规范，就像遵守“交通规则”一样，避免在应用程序中使用不安全的函数或方法。例如，使用htmlspecialchars()函数对用户输入进行转义，而非直接使用<和>字符。
• 6. 操作权限控制： 对用户操作进行权限控制，就像设置“门禁”一样，限制用户对敏感数据的访问和操作。
• 7. 使用 HTTP-Only 的 Cookie： 将Cookie设置为HTTP-Only，就像给Cookie加上“锁”，防止攻击者通过窃取Cookie进行会话劫持等攻击。
• 8. 更新和修复： 定期更新服务器端软件和库，就像给系统“打补丁”一样，修复已知的安全漏洞。
• 9. 安全测试： 定期对网站进行安全测试，就像进行“体检”一样，发现并修复潜在的安全隐患。可以使用XSS扫描工具、渗透测试等方式。
• 10. 用户教育： 提高用户对网络安全的意识，就像进行“安全教育”一样，教育用户如何识别和防范XSS攻击。

总而言之，防御XSS攻击需要多管齐下，就像“组合拳”一样，才能有效保护网站和用户的安全。

7. 练练手，实战演习！

目标网站：https://portswigger.net/web-security/cross-site-scripting/stored/lab-html-context-nothing-encoded

这个网站提供了大量的XSS案例，就像一个“练兵场”，可以让你亲自动手，提升技能。

1、在文章下面回复如下评论，在评论区注入payload

2、当有其他用户打开此篇文章时，就会出现如下弹窗。

3、查看网页源码可以发现评论内容直接输出到页面了，当前网站未做任何防御处理。

PS：网页中文显示乱码是由于当前网站不支持中文编码。

黑客/网络安全学习包

资料目录

1. 成长路线图&学习规划

2. 配套视频教程

3. SRC&黑客文籍

4. 护网行动资料

5. 黑客必读书单

6. 面试题合集

因篇幅有限，仅展示部分资料，需要点击下方链接即可前往获取

优快云大礼包：《黑客&网络安全入门&进阶学习资源包》免费分享

1.成长路线图&学习规划

要学习一门新的技术，作为新手一定要先学习成长路线图，方向不对，努力白费。

对于从来没有接触过网络安全的同学，我们帮你准备了详细的学习成长路线图&学习规划。可以说是最科学最系统的学习路线，大家跟着这个大的方向学习准没问题。

因篇幅有限，仅展示部分资料，需要点击下方链接即可前往获取

优快云大礼包：《黑客&网络安全入门&进阶学习资源包》免费分享

2.视频教程

很多朋友都不喜欢晦涩的文字，我也为大家准备了视频教程，其中一共有21个章节，每个章节都是当前板块的精华浓缩。

因篇幅有限，仅展示部分资料，需要点击下方链接即可前往获取

优快云大礼包：《黑客&网络安全入门&进阶学习资源包》免费分享

3.SRC&黑客文籍

大家最喜欢也是最关心的SRC技术文籍&黑客技术也有收录

SRC技术文籍：

黑客资料由于是敏感资源，这里不能直接展示哦！

4.护网行动资料

其中关于HW护网行动，也准备了对应的资料，这些内容可相当于比赛的金手指！

5.黑客必读书单

**

**

6.面试题合集

当你自学到这里，你就要开始思考找工作的事情了，而工作绕不开的就是真题和面试题。

更多内容为防止和谐，可以扫描获取~

因篇幅有限，仅展示部分资料，需要点击下方链接即可前往获取

****************************优快云大礼包：《黑客&网络安全入门&进阶学习资源包》免费分享