本文關(guān)鍵詞：XSS跨站腳本攻擊剖析與防御，由筆耕文化傳播整理發(fā)布。

（轉(zhuǎn)）

0×01 前言:

《xss攻擊手法》一開(kāi)始在互聯(lián)網(wǎng)上資料并不多(都是現(xiàn)成的代碼，沒(méi)有從基礎(chǔ)的開(kāi)始)，直到刺的《白帽子講WEB安全》和cn4rry的《XSS跨站腳本攻擊剖析與防御》才開(kāi)始好轉(zhuǎn)。

我這里就不說(shuō)什么xss的歷史什么東西了，xss是一門(mén)又熱門(mén)又不太受重視的Web攻擊手法，為什么會(huì)這樣呢，原因有下：

1、耗時(shí)間 2、有一定幾率不成功 3、沒(méi)有相應(yīng)的軟件來(lái)完成自動(dòng)化攻擊 4、前期需要基本的html、js功底，后期需要扎實(shí)的html、js、actionscript2/3.0等語(yǔ)言的功底 5、是一種被動(dòng)的攻擊手法 6、對(duì)website有http-only、crossdomian.xml沒(méi)有用

但是這些并沒(méi)有影響黑客對(duì)此漏洞的偏愛(ài)，原因不需要多，只需要一個(gè)。

Xss幾乎每個(gè)網(wǎng)站都存在，google、baidu、360等都存在。

0×02 原理:

首先我們現(xiàn)在本地搭建個(gè)PHP環(huán)境(可以使用phpstudy安裝包安裝)，，然后在index.php文件里寫(xiě)入如下代碼:

XSS原理重現(xiàn)php $xss = $_GET['xss_input']; echo '你輸入的字符為

  本文關(guān)鍵詞：XSS跨站腳本攻擊剖析與防御，由筆耕文化傳播整理發(fā)布。