Xss

XSS（Cross Site Scripting）攻击全称跨站脚本攻击，XSS是一种在web应用中的计算机安全漏洞，它允许恶意web用户将代码植入到提供给其它用户使用的页面中。xss就是在页面执行你所要执行的js。

Fuzz testing 模糊测试

 

point：“xss盲打”，“xss编码绕过”，“fuzzing xss”

 

参考

https://blog.csdn.net/u011781521/article/details/53894399

 

http://www.freebuf.com/articles/web/40520.html

 

xss攻击大全？

http://www.freebuf.com/author/Black-Hole

 

 

 

1：xss攻击可以分成两种类型：

 

1）.非持久型攻击

2）.持久型攻击

 

非持久型xss攻击：顾名思义，非持久型xss攻击是一次性的，仅对当次的页面访问产生影响。非持久型xss攻击要求用户访问一个被攻击者篡改后的链接，用户访问该链接时，被植入的攻击脚本被用户游览器执行，从而达到攻击目的。

 

持久型xss攻击：持久型xss，会把攻击者的数据存储在服务器端，攻击行为将伴随着攻击数据一直存在。

 

反射型：经过后端，不经过数据库

 

存储型：经过后端，经过数据库

 

DOM：不经过后端,DOM—based XSS漏洞是基于文档对象模型Document Objeet Model,DOM)的一种漏洞,dom – xss是通过url传入参数去控制触发的。

 

 

2：可以通过闭合html标签，增加onclick，onerror函数来实现各种操作

 

 

3：xss的利用

插入jsdaima