安全测试初体验-XSS

XSS：XSS攻击成功后，攻击者能够对用户当前浏览器的页面植入恶意脚本，通过恶意脚本，控制用户的浏览器。这些用以完成各种具体功能的恶意脚本,被称为"XSS Payload"。

XSS Payload实际上就是JavaScript脚本，所以任何JavaScript脚本能实现的功能，XSS Payload都能做到。

简单来说就是js代码，植入页面后会导致出现一些错误，比如在某个输入域内输入一段js脚本（ ）提交后，页面没有信息展示或者弹窗运行了，都是问题，需要解决。

不止输入域要验证，输入域提交的信息对应的展示页面，也都需要验证。

这只是安全测试的冰山一角，需要研究的地方还很多，目前只接触了功能上注入代码的XSS安全测试。