一、XSS的原理

跨站脚本攻击XSS（Cross Site Scripting），为了不和层叠样式表（Cascading Style Sheets，CSS）的缩写混淆，故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意Script代码，当用户浏览该页时，嵌入其中Web里面的Script代码会被执行，从而达到恶意攻击用户的目的。XSS攻击针对的是用户层面的攻击！

二、XSS漏洞分类

1、反射型xss

反射型XSS是非持久性、参数型的跨站脚本。反射性XSS的JS代码在Web应用的参数（变量）中，如搜索框中，提交PoC[scriptalert(/xss/)/script],单击搜索，即可触发反射型XSS。这时就会注意到，我们提交的poc会出现在search.php页面的keywords参数中。

2、存储型XSS

存储型XSS是持久性跨站脚本。持久性体现在XSS代码不是在某个参数（变量）中，而是写进数据库或文件等可以永久保存数据的介质中。存储型XSS通常发生在留言板等地方。我们在留言板位置留言，将恶意代码写进数据中。此时，我们只完成了第一步，将恶意代码写入数据库。因为XSS是的JS代码，JS代码运行的环境是浏览器，所以需要浏览器从服务器载入恶意的XSS代码，才能真正触发XSS。此时，需要我们模拟网站后台管理员的身份，查看留言。

3、基于DOM的XSS

DOM的XSS比较特殊。owasp关于DOM型号XSS的定义是基于DOM的XSS是一种XSS攻击，其中攻击的payload由于修改受害者浏览器页面的DOM树而执行的。其特殊的地方就是payload在浏览器本地修改DOM树而执行，并不会传到服务器上，这也就使得DOM XSS比较难以检测。

三、XSS漏洞的危害及验证

我们可以使用一段简单代码，验证和检测漏洞的存在，这样的代码叫做PoC(Proof of Concept)。验证XSS漏洞存在的PoC如下：

(1)scriptalert(/xss/)/script
(2)scriptconfirm('xss')/script
(3)scriptprompt('xss')/script

四、XSS漏洞的黑盒测试

尽可能找到一切用户可控并且能够输出在页面代码中的地方，比如下面这些：
URL的每一个参数、URL本身、表单、搜索框、常见业务场景
重灾区：评论区、留言区、个人信息、订单信息等
针对性：站内信、网页即时通讯、私信、意见反馈
存在风险：搜索框、当前目录、图片属性等

五、XSS漏洞的白盒测试

关于XSS的代码审计主要就是从接收参数的地方和一些关键词入手。
PHP中常见的接收参数的方式有$GET、$POST、$_REQUEST等等，可以搜索所有接收参数的地方。然后对接收到的数据进行跟踪，看看有没有输出到页面中，然后看输出到页面中的数据是否进行了过滤和html编码等处理。
也可以搜索类似echo这样的输出语句，跟踪输出的变量是从哪里来的，我们是否能控制，如果从数据库中取的，是否能控制存到数据库中的数据，存到数据库之前有没有进行过滤等等。
大多数程序会对接收参数封装在公共文件的函数中统一调用，我们就需要审计这些公共函数看有没有过滤，能否绕过等等