关于xss盲打关于xss盲打

　　关于xss盲打关于xss盲打

　　

　　又到了各种年终总结的时候了，先祝各位看官“圣诞快乐”。我记得有朋友问我在2012年里有没有“猥琐流”比较出彩的东西时，我给的答案是“xss盲打”!

　　关于“盲打”这个词语的出现，最早应该是在wooyun里id为“胯下有杀气”的马甲提出的。最早的一个wooyun案列是2012年7月提交的《WooYun-2012-09547》 ，由此xss盲打火了起来，当然wooyun推出的xss平台xsser.me也火了。于是到处都是“xxx盲打”，“xsser.tw”，“xsser.xx” ....

　　无独有偶，在从不多的时间段里，西方时间也出现了同样的攻击手法及平台。在2012年7月的defcon20上“Adam "EvilPacket" Baldwin”演讲的议题《Blind XSS》 然后他也推出了一个平台xss.io 至于一切都是巧合，还是东西方有啥子关联，就没办法去考证了~~

　　那 到底什么是“xss盲打”呢? “xss盲打”是指在攻击者对数据提交后展现的后台未知的情况下，网站采用了攻击者插入了带真实攻击功能的xss攻击代码 (通常是使用script标签引入远程的js)的数据。当未知后台在展现时没有对这些提交的数据进行过滤，那么后台管理人员在操作时就会触发xss来实现 攻击者预定好的“真实攻击功能”。

　　对于这种攻击方式，对于我来说最早可以追溯到2007年我写的blog文《dz升级检测功能的黑盒测试》不过可惜的当时并没有去实践，而只是提出了攻击思路。还有值得一提的是在那挂马横行的年代，基本所有的“箱子”对于木马提交的“密码”、“ip”等数据都是缺少xss过滤的。所以当时也有人整过挂马箱子的盲打。

　　这个时间段差不多有5年，我想这个原因可能还是“对交互恐惧”导致的，我在《也策漏洞利用》 有 提到过这样问题。而为什么会“火”呢?也是上面那个原因