2022-01-07 反射型跨站脚本XSS Reflected

跨站脚本攻击（Cross Site Scripting）缩写为CSS），但是这与浏览器的层叠样式表css会混淆，所以人们把跨站脚本攻击缩写为xss。

反射型XSS，所谓反射，就像镜子一样，一束光发过去，立即弹回来。

反射型XSS攻击，又叫非持久性跨站脚本攻击。每次执行需要用户的点击。

xss原理：其原理是攻击者向有XSS漏洞的网站中输入(传入)恶意的HTML代码，当用户浏览该网站时，这段HTML代码会自动执行，从而达到攻击的目的。

注入的本质就是：把用户的输入的数据当作代码执行。

xss注入的关键：

1、第一个是用户能够控制输入

2、原本程序要执行的代码，拼接了用户输入的数据

sql注入拼接的是操作数据库的sql语句。xss拼接的是网页的html代码。我们一般会拼接出合适的html代码去执行恶意的js语句。

xss的危害：

盗取cooike，获取内网ip，利用用户身份进行某种动作，网站挂马，肉鸡抓取，强制发送邮件，非法转账，添加删除企业敏感数据。

应为达到各种各样的效果需要比较复杂的代码。

xss平台：{undefinedxsspt.com}

xss平台大大方便了xss攻击，只需要引入一个平台就可以实现功能。