学习学习

我来讲讲,我对于XSS的理解,首先XSS分为俩种,一种是反射行XSS, 一种是存储型XSS

反射型XSS就是针对URL的一次反弹,比如你发现一个搜索框,然后当你输入 playload

比如 <script>alert(1)</script>    列举一些playload  <img  src=0  onerror=alert(1)  />的时候,当执行的时候 他会给你弹框,     当然存储型XSS,则是留言板

你提交的数据,在页面上都会存在,   最终的目的就是为了获取对方的 cookie  就是sessionID 或者是会话令牌

有了这张令牌  进入admin网站的时候 就通行无阻了,,   

 

!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!  目前对于反射行XSS的危害 不是特别大,    因为他的思路是发送给管理员一个网站,

让其点击 获取对方的会话令牌,  

!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!   而存储型XSS则是当对方访问这个页面的时候 就触发这个脚本,    返回给你一个会话令牌

至于如何操作,    思路不要太窄,  一定要多思考,    目的都可以转换,  方式更可以转换.           希望对于未了解XSS的人来说 有所帮助 

 

 

----------------------------------------------------本人也是菜鸟,希望大牛们请教  有啥不对的地方 留言  共同进步