xss盲打

 什么是xss盲打？

　　简单来说，盲打就是在一切可能的地方尽可能多的提交xss语句，然后看哪一条会被执行，就能获取管理员的cooike。趁着没过期赶紧用了，这样就能直接管理员进后台。然后再上传一句话，大马最终渗透进内网。

        盲打只是一种惯称的说法，就是不知道后台不知道有没有xss存在的情况下，不顾一切的输入xss代码在留言啊，feedback啊之类的地方，尽可能多的尝试xss的语句与语句的存在方式，就叫盲打。

       “xss盲打”是指在攻击者对数据提交后展现的后台未知的情况下，网站采用了攻击者插入了带真实攻击功能的xss攻击代码（通常是使用script标签引入远程的js）的数据。当未知后台在展现时没有对这些提交的数据进行过滤，那么后台管理人员在操作时就会触发xss来实现攻击者预定好的“真实攻击功能”。

       通俗讲就是见到输入框就输入提前准备的xss代码， 通常是使用script标签引入远程的js代码，当有后台人员审核提交数据时候，点击了提交的数据，触发获取到有价值信息 。

转载于:https://www.cnblogs.com/happystudyhuan/p/11471124.html