web常见攻击方式（xss）

环境搭建
win7虚拟机搭建dvwa网站
下载dvwa，将dvwa配置在phpstudy上，如图

在外网上登录，我这里的网址是
http://192.168.0.117/dvwa/login。

登录，账号是admin，密码password
进入页面后，打开security，设置等级，一般从低级开始

开始测试
1.反射型xss
首先测试低级的反射型xss，在输入框输入 ，这里利用的是web开发的一些语句，alert是显示警告，如果存在xss攻击就会发出警告

效果图如图所示，这里我们可以看到，存在了xss攻击，通过xss的代码可以将页面cookie获取，实现页面跳转，这也是常用的手段，这里就不去做了。

这里我们应该观察一下源码，这对我们理解xss攻击有很大帮助

打开源码信息，我们可以看到，xss攻击本质就是利用开发人员的编程习惯漏洞，如果，加入安全的输入信息，反射型xss就不可能发生了
比如，使用内置的PHP函数（例如“ htmlspecialchars（） ”），可以转义任何会改变输入行为的值。
这也是我在刚刚使用时犯的一个错误，这是因为安全等级没有调整，所以我无论如何也无法做出测试结果的原因，就是应为一个“ htmlspecialchars（） ”函数，其实安全理解深入一点还是要回归代码的。
2.存储型xss
测试是否存在xss

效果如图

输入时，发现存在输入限制，我们可以修改前段 输入，只需要你看懂一些设置代码就可以修改了，这里修改maxlength

之后就可以输入

上面语句是可以获取cookie的注入语句

我这里好像版本不支持，就不去做了，我们应该了解的就是存储型xss的攻击也是利用的输入漏洞，不同的是，这个数据会被存储起来，比如刚才我的那个错误信息就是会一直跳转在那个界面，只有重新启动才会清除。
这是xss 的简单应用暂时就介绍到这里。