XSS漏洞原理分析

昨天還準備好好的思考把這個漏洞就原理給好好的在本地復現一下，再找找資料的時候，看到我認識的好多朋友都都有過簡單的搭建復現例子，想著算求了，我也不本地復現搭建了，等玩XSS攻防測試的源碼再貼吧。

XSS用我個人的理解就是該網頁源碼沒有對輸入輸出進行過濾，導致用戶輸入的js代碼被系統默認為網頁源碼並執行了，我先寫個簡單的反射XSS代碼。

<script>alert(shiyan)</script>

這個<script></script>標籤是js代碼里的，就是javascript這個語言里的，alert()這個是輸出的意思，把裡面的字元串或者數字，輸出出來。好了我個人的就寫到這裡吧，不雜詳細，但是我對原理就是這麼理解的，等搭建XSS平台這個，我再好好詳細的寫寫，不能直接貼別人的了，畢竟我也對呢個不雜精通，知識知道大概的原理和構造，具體的編寫代碼，不是很會，畢竟我html和js我都是不咋會。。。

好了，下面貼一個在 freebuf 上的文章，講解的XSS的原理和解剖的很是詳細，等我自己閑的沒事了，也方便我自己看，不要再翻翻找找。

print 先點擊圖片放大，然後再點擊右鍵查看圖片，在放大查看，這樣就是最大化的查看，和瀏覽器屏幕一般大的。

原貼地址： XSS的原理分析與解剖 - FreeBuf.COM | 關注黑客與極客

XSS漏洞原理就是這麼簡單，但是利用的起來，卻不簡單，可以說是高危漏洞，如果編寫關於XSS的利用方法，可以說一本書都寫不完， 比如說簡單的釣魚，截取cookie，等等。

好了，這個XSS原理備忘錄就這樣吧。