WEB安全基础篇-跨站脚本攻击（XSS）

前言此文章总结学习于《白帽子讲WEB安全》跨站脚本攻击（XSS）是客户端安全的头号大敌，OWASP TOP 10多次把xss列在榜首。一、XSS简述XSS攻击是指黑客通过“HTML注入”篡改网页，插入恶意的脚本，当用户浏览该页之时，嵌入其中Web里面的html代码会被执行，从而达到恶意用户的特殊目的。1.1 什么是XSS假设一个用户输入的参数直接输出到页面上**（本章全程使用phpStudy进行环境部署）**$input = $_GET["test"];echo "".$input."";?>访问此php界面，想test参数提交数据，页面会展示提交的数据内容http://192.168.163.131/test.php?test=ceshi上面我们可以看到和我们猜想的一样。如果我们提交的数据改为一段js代码http://192.168.163.131/test.php?test=alert(/test!!!/)我们看到script脚本被执行，我们在看一下源代码alert(/test!!!/)script脚本被加载到页面中，这显然是有问题的。1.2 XSS分类XSS根据效果可 ………………………………