XSS被称为跨站脚本攻击(Cross-site scripting),由于和CSS(CascadingStyle Sheets)重名,所以改为XSS。
XSS主要速于javascript语言完成恶意的攻击行为,因为javascript可非常灵活的操作html、css和浏览器
XSS就是指通过利用网页开发时留下的漏洞(由于Web应用程序对用户的输入过滤不足),巧妙的将恶意代码注入到网页中,使用户浏览器加载并执行攻击者制造的恶意代码,以达到敌击的效果。这些恶意代码通常是JavaScript,但实际上也否以包括Java、VBScript、ActiveX、Flash 或者普通的HTML。
实施XSS攻击需要具备的两个条件:
需要向Wsb页面注入精心构造的恶意代码
对用户的输入没有做过滤,恶意代码能够被浏览器成功的执行
xss-labs-master构建
1.打开MySQL和nginx
将xss-labs-master压缩到根目录
访问即可
第一关
<script>alert(1)</script> 
