如何分析反射型XSS

1??????測(cè)試環(huán)境介紹

測(cè)試環(huán)境為owasp環(huán)境中的dvwa模塊

2??????測(cè)試說明

XSS又叫CSS (CrossSite Script) ，跨站腳本攻擊。它指的是惡意攻擊者往Web頁面里插入惡意html代碼，當(dāng)用戶瀏覽該頁之時(shí)，嵌入其中Web里面的html代碼會(huì)被執(zhí)行，從而達(dá)到惡意攻擊用戶的特殊目的，比如獲取用戶的Cookie，導(dǎo)航到惡意網(wǎng)站，攜帶攻擊等等。利用該漏洞，攻擊者可以劫持已通過驗(yàn)證的用戶的會(huì)話。劫持到已驗(yàn)證的會(huì)話后，病毒發(fā)起者擁有該授權(quán)用戶的所有權(quán)限。

3??????測(cè)試步驟

在輸入框中輸入javascrip腳本代碼：

<script>alert(/xxshack/)</script>

點(diǎn)擊submit按鈕后彈出一個(gè)對(duì)話框，說明網(wǎng)站沒有對(duì)腳本進(jìn)行過濾，導(dǎo)致存在跨站漏洞。