接下来一年时间将会主要研究渗透测试方向的众多问题，文章中的内容也会在后面定期更新。本文主要记录了一些XSS漏洞挖掘中的实用心得和学习笔记。

漏洞描述

漏洞描述：跨站脚本攻击的英文全称是Cross Site Script，为了和样式表区分，缩写为

XSS。发生的原因是网站将用户输入的内容输出到页面上，在这个过程中可能有恶意代码被

浏览器执行。跨站脚本攻击,它指的是恶意攻击者往Web页面里插入恶意html代码，当用户

浏览该页之时，嵌入其中Web里面的html代码会被执行，从而达到恶意用户的特殊目的。已

知的跨站脚本攻击漏洞有三种：1）存储式；2）反射式；3）基于DOM。1、 存储型跨站脚本攻击涉及的功能点：用户输入的文本信息保存到数据库中，并能够在页面展示的功能点，例如用户留言、发送站内消息、个人信息修改等功能点。

2、 反射型跨站脚本攻击涉及的功能点：URL参数需要在页面显示的功能点都可能存在

反射型跨站脚本攻击，例如站内搜索、查询功能点。

3、 基于DOM跨站脚本攻击涉及的功能点：涉及DOM对象的页面程序，包括（不限这

些）：

document.URL

document.URLUnencoded

document.location

document.referrer

window.location

测试方法：

1) 在输入的参数后逐条添加以下语句，以第一条为例，输入

http://www.exmaple.com/page.xxx?name=<script>alert(123456)</script>

只要其中一条弹出显示123456的告警框，就说明存在跨站漏洞，记录漏洞，停止测试。

2) 如果没有弹出显示123456的告警框，则在返回的页面上单击鼠标右键，选择“查看源文件”。

3) 查找网页源文件中是否包含完整的字符串<script>alert(123456)</script>，则不管有没有弹出显示123456的告警框，都表明存在跨站脚本漏洞。

4) 由于有些HTML元素（比如<textarea>或”）会影响脚本的执行，所以不一定能够正确弹出123456告警框，需要根据返回网页源文件的内容，构造value的值，比如多行文本输入框：

</textarea><script>alert(123456)</script>

文本输入框：

</td><script>alert(123456)</script>

'><script>alert(123456)</script>

"><script>alert(123456)</script>

</title><script>alert(123456)</script>

--><script>alert(123456)</script>

[img]javascript:alert(123456)[/img]

<scrip<script>t>alert(123456)</scrip</script>t>

</div><Script>alert(123456)</script>

需要对页面上所有可以提交参数的地方进行测试。具体跨站脚本的测试语句根据实际情况的不同而不同，可自行构造，以及触发事件等切换，这里只列出了一些最常见构造语句。

基本用例

从攻的角度探讨以下用例

1、利用<>标记注射脚本

最简单的就是<script>alert(123456)</script>，但是XSS。filter首当其冲要进行过滤和转义的就是<>和<script>这类字符。

2、利用HTML标签属性值

可以利用HTML中标签的属性值，很多HTML标记中的属性都支持jcavscript：[code]的伪协议形式，例子如下：

<img src="javascript:alert('XSS');">

但这个方式由于浏览器的升级局限性较高

3、使用空格回车键

在引号中使用额外的换行和分隔来跳过过滤，因为JS语句通常以分号结尾。

例子：

<img src ="javas

ceript:

alert(/xss/)" width=100>

4、对标签属性转码：

支持ASCII形式

5、产生自己的事件

6、使用CSS进行xss

7、扰乱过滤规则

使用不同的大小写、使用单引号、不使用引号等方式