xss跨站脚本攻击 (一)

1.xss攻击定义

xss攻击，就是在动态网页中，插入恶意的 script 代码，当用户浏览该页面时，嵌入在web网页里面的 script代码就会被执行，达到恶意攻击用户的

xss类型：

• 存储型———将恶意代码放到对方服务器内，只要用户访问了漏洞网站就会被攻击
• 反射型———将恶意代码放到网站后面，只有用户访问了有恶意代码的网站才会被攻击
• DOM型 (DOM型的xss，是包括在反射型xss里面的)

2.常用payload

检测时发现字母之间有其他符号，说明存在过滤。可以用大小写绕过

检测时发现字母之间有其他符号，但是用大小写无法绕过，可以用 编码绕过

检测时发现字母消失，说明存在过滤。但是只会检测一次， (例如: scrscriptipt)

检测时发现，输入必须带特定的字符才会执行，可以用js的注释(//) 【例如:javasrtip:alert(1)//http://】

检测时发现，有