XSS平台偷取cookie使用+XSS漏洞

 一、XSS平台

在线利用网站：

1、http://xsscom.com/

2、XSS平台-仅用于xss安全测试专用

 复制代码

 输入复制的代码

查看获取到的cookie 

二、xss触发方式

（1）在标签外：

 

（2）在标签内：

使用事件型：（先用引号闭合，看看是否有过滤如果有使用大小写试验）

（1）12' οnclick='alert(1)

在标签内不能使用

（2）存储型xss

将攻击者构造的恶意代码，存储到数据库中，并且在网站页面上自动执行代码。

（3）DOM型xss

需要用户点击

数据不到后端，直接由前端js进行处理

123456' οnclick='alert(1) 

在标签内不能使用

 

 xss：过滤

大小写绕过

双写绕过123">alert(1)

xss：htmlspecialchars 

htmlspecialchars转义特殊字符

&：转换为&

"：转换为"

'：转换为成为 '

<：转换为<

>：转换为>

12' οnclick='alert(1)

 使用伪协议javascript:alert(1) 

xss：href

可以放置url

 使用伪协议

javascript:alert(1)

xss：js

闭合