XSS原理

　　XSS漏洞产生的原理：

　　网站上有各种 与用户交互的 输入框 ，像留言板，搜索框（多发地点）

　　用户在框里输入内容 ，是需要经过程序过滤之后 才能发送往服务器，然后写入数据库

　　如果程序员在字符过滤程序中没有把有害代码过滤掉

　　就会被网站上的javascript 等脚本执行 　

　　最经典的就是 产生一个弹窗

　　弹窗是无害的，但是如果执行的是有害代码

　　就可以嘿嘿嘿了。

 

 

　　shellcode，最初是溢出程序和蠕虫病毒的核心

　　实际上是指利用一个漏洞所执行的代码，在Xss中是指 由JavaScript等脚本编写的Xss利用代码

　　exploit 通常指完整编写好的漏洞利用工具

　　poc 是一段证明漏洞存在的程序代码片段

 

 

　　传统的XSS运用中，Shellcode一般是直接写进页面中执行

　　不过在世纪环境中可能会遇到很多阻扰

　　比如服务器端程序过滤，输入字符有长度限制等

　　所以，攻击者往往会把shellcode写到 远程服务器上 （网站服务器上）

　　然后用 <script>等标签对其进行调用

　　或者使用一些本地存储对象对其进行存储和调用。

 

 

 

　　加载远程域的JavaScript文件是调用XSS shellcode的常见方式之一

　　它的不便之处在于需要有远程服务器的的权限

　　恰当的说，利用者必须上传javascript等文件到某个服务器上