xss漏洞攻击试验流程1

1.XSS攻击原理
XSS原称为CSS(Cross-Site Scripting)，因为和层叠样式表(Cascading Style Sheets)重名，所以改称为XSS(X一般有未知的含义，还有扩展的含义)。XSS攻击涉及到三方：攻击者，用户，web server。用户是通过浏览器来访问web server上的网页，XSS攻击就是攻击者通过各种办法，在用户访问的网页中插入自己的脚本，让其在用户访问网页时在其浏览器中进行执行。攻击者通过插入的脚本的执行，来获得用户的信息，比如cookie，发送到攻击者自己的网站(跨站了)。所以称为跨站脚本攻击。XSS可以分为反射型XSS和持久性XSS，还有DOM Based XSS。(一句话，XSS就是在用户的浏览器中执行攻击者自己定制的脚本。)
2.xss分类
一类是存储型XSS，主要出现在让用户输入数据， 供其他浏览此页的用户进行查看的地方，包括留言、评论、博客日志和各类表单等。应用程序从数据库中查询数据，在页面中显示出来，攻击者在相关页面输入恶意的脚本数据后，用户浏览此类页面时就可能受到攻击。这个流程简单可以描述为 —— 恶意用户的Html输入web程序 -> 进入数据库 -> web程序 -> 用户浏览器。

另一类是反射型XSS，主要是将脚本加入URL地址的程序参数里，参数进入程序后在页面直接输出脚本内容，用户点击类似的恶意链接就可能受到攻击。
3.环境搭建
其实感觉这个环境搭建并不复杂，老师已经讲得很清楚了我就简单放两张图：

修改成你想设置的就好了

然后一步操作至关重要：


然后就可以正常访问了
4.按照指导书上的来就行了
注意：

最后的cookie欺骗可以用插件也可以用工具 我用的是这个，感觉挺好用的

可以上网搜一搜 想要这个工具的可以留言