XSS跨站漏洞原理

XSS跨站漏洞很簡單！他並不是什麼跨越站進行提權之類的！

跨站腳本攻擊又被稱之爲CSS攻擊，是指入侵攻擊者通過某種方式，在遠程的Web頁面的HTML代碼中寫入特殊的字符串。

當其他上網者在瀏覽此頁面時，嵌入頁面中的這些字符就會被作爲一段腳本代碼而執行。所以有時候也被叫做XSS攻擊！

XSS跨站漏洞原理就是利用網站裏面的編輯器過濾不嚴而導致的！

比如：某個後臺的新聞編輯過濾不嚴，在他的新聞裏面寫入這段代碼！
代碼：<script>alert('XSS跨站成功!')</scrpt>

那當用戶瀏覽該條新聞時就會跳出一個窗口寫着XSS跨站成功！

這是一條測試編輯器有沒有跨行站漏洞的代碼！看標籤！

這是一段JavaScript腳本語言！

也就是說XSS跨站漏洞可以利用HTML語言和JavaScript腳本語言來進行構架攻擊方式！

比如插入<iframe scr=http://www.sina.com.cn></iframe>

他將會在頁面插入一個瀏覽窗口，顯示頁面是http://www.sina.com.cn！

如果把http://www.sina.com.cn這個頁面換成木馬的下載頁就可以達到不用拿shell進行頁面掛馬了！

所以說XSS跨站的危害性也是很大的！

當然這只是簡單的腳本語言架構！高深一點的可以不再頁面顯示就下載木馬！