XSS攻击入门

反射性XSS

XSS又叫CSS(Cross Site )跨站脚本攻击。它指的是恶意攻击者往Web页面TM入恶意代码，当用户浏览该页之时。嵌入其中Web里面的html代码会被执行。从而达到恶意攻击用户的特殊目的。在XSS的攻击方式中需要欺骗用户自己去点击案连陵才能触发XSS称为反射里XSS.

输入 hi 发现输出结果正常，没有其他影响

可以输入xss代码，发现输出正确，可以看到提交xss代码后浏览器会弹出一个对话框，会显示我们的输出的内容，这就是一个简单的反射性XSS。

存储型XSS

所谓跨站脚本攻击，为不和层叠样式表的缩写混清。专门将跨站脚本攻击缩写为XSS。由于部分网站开发人员对用户输入过滤不严，会导致用户可以向Web页面里清入恶意html代码，当用户浏览该页之时，嵌入其中Web里面的html代码会被执行，从而达到恶意攻击用户的特殊目的

由于对用户的输入过滤不严导致XSS，所以一般XSS会存在交互页面，比如登陆框、留言版等地方，提交请求，进行尝试输入不同内容，寻找xss漏洞存在的地方，经过反复尝试 发现留言标题文本框对输入的文字长度进行了限制，我们需要调整xss代码来绕过防护，我们先尝试提交*/点击提交，显示提交成功。输入alert(/xss/)/*，发现留言也成功。

当管理员登陆后台 查看留言列表时，会触发用户输入的恶意代码，就会成功弹窗。通过使用注释符成功的绕过了系统对留言标题长度的限制后，恶意代码成功的执行。完成弹窗攻击。