如何快速发现XSS跨站攻击漏洞

教你如何快速发现XSS跨站攻击漏洞
什么是XSS跨站攻击？
跨站脚本攻击(Cross Site Scripting)，为了不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆，故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意的Script代码，当用户浏览该页之时，嵌入其中Web里面的Script代码会被执行，从而达到恶意攻击用户的目的。（以上内容来自百度百科）
其实简单理解，就是我们的程序，在参数传入时，没有对输入字符串中特殊字符或字符串做合理的检查和处理，如果参数传入的内容中，包含了恶意代码，那么我们的程序就会把这段恶意代码在浏览器中执行。那么，XSS跨站攻击会给我们带来哪些危害呢？下面的这些内容，或许你并不陌生：
1、钓鱼欺骗
2、网站挂马
3、身份盗用
4、盗取网站用户信息
5、垃圾信息发送
6、劫持用户Web行为
7、XSS蠕虫
在哪些地方需要进行XSS跨站攻击的测试验证？
可传参的URL中
可输入内容的表单
怎么快速判断是否有XSS跨站攻击注入点？
即在表单填写框中直接注入攻击脚本（一般都是JS脚本），如在表单中输入JS内容后，正常预期程序是不应该让脚本执行的，如果程序没有对输入内容做有效处理，则提交后程序会执行我们输入的JS代码。
XSS跨站攻击测试示例
下面测试步骤举例以可视化当前暂未被修复的一个XSS跨站攻击点为例，帮助大家理解如何发现XSS跨站攻击点。
1、登陆可视化运营后台：
athena-mf.maoniuchuxing.com 13000000000 111111
（以上账号仅适用于测试服和预发布）
2、进入【可视化运营后台-用车订单-行程变更审核】模块，选择一个审核状态为“待审核”的订单，在审核建议中输入以下内容：
点击【提交】（当前因该模块有部分需求变动，还未提测，第一次点击提交审核时可能会报错，再次点击会提醒审核状态已变化，如果遇到，请先忽略这个问题）