針對(duì)xss漏洞 基礎(chǔ)的語(yǔ)言測(cè)試用的語(yǔ)句還是要基本的了解，不然你都不會(huì)測(cè)試！

實(shí)戰(zhàn)策略 “ 見(jiàn)框就插、改數(shù)據(jù)包不可見(jiàn)部分、改URL參數(shù)、js分析（百度吧） ”

實(shí)驗(yàn)參照freebuf-xss實(shí)戰(zhàn)詳解，本文為實(shí)戰(zhàn)分析：

鏈接記錄：

http://www.freebuf.com/articles/web/40520.html

學(xué)習(xí)任何一種依靠交互式的攻擊，先嘗試輸入對(duì)應(yīng)的編程語(yǔ)言關(guān)鍵詞是第一步：

就像sql注入輸入了and、union 這里我就先試試,

LOW

看到一個(gè)不知他是干嘛的框時(shí)，輸入個(gè) 1 還是不會(huì)出現(xiàn)問(wèn)題的

輸入個(gè) 1 發(fā)現(xiàn)就是返回個(gè) hello 1? ；現(xiàn)在知道存在反饋機(jī)制

那么來(lái)點(diǎn)侵略性的? <script>? 發(fā)現(xiàn)什么都沒(méi)輸出? 兩種可能 1.過(guò)濾了 2.可能是內(nèi)部的語(yǔ)言，導(dǎo)致他不知道輸出什么?，F(xiàn)在則需要我們構(gòu)造一些有特殊反饋的語(yǔ)句

輸入個(gè)<script>alert（"fuck"）</script>；有些發(fā)現(xiàn)，語(yǔ)句被執(zhí)行執(zhí)行了

這么基礎(chǔ)的語(yǔ)言都沒(méi)有過(guò)濾，那么接下來(lái)就是javascript 語(yǔ)言表演時(shí)間！

xss語(yǔ)句福利：http://www.cnblogs.com/dsky/archive/2012/04/06/2434768.html

'><script>alert(document.cookie)</script>在文檔中發(fā)現(xiàn)這么一句，猜測(cè)xss的防范應(yīng)該與sql注入有異曲同工之妙，那繞過(guò)也就存在可能。

MEDIUM

輸入個(gè) <script> 發(fā)現(xiàn)依舊沒(méi)有反饋 證明不是過(guò)濾就是內(nèi)部語(yǔ)句

嘗試剛才的語(yǔ)言，結(jié)果GG

結(jié)果明顯<script></script> 兩兄弟沒(méi)作用了，根據(jù)sql注入猜測(cè)變換大小寫(xiě)

輸入<Script>alert("fuck")</script>???? Victory

接下來(lái)又是javascript表演時(shí)間

HIGH