本文參考公眾號07v8論安全

        XSS攻擊全稱跨站腳本攻擊，XSS是一種在web應用中的計算機安全漏洞，它允許惡意web用戶將代碼植入到提供給其它用戶使用的頁面中。

XSS攻擊分成兩類
1、一類是來自內部的攻擊，主要指的是利用程序自身的漏洞，構造跨站語句。
2、另一類則是來自外部的攻擊，主要指的自己構造XSS跨站漏洞網頁或者尋找非目標機以外的有跨站漏洞的網頁。
如當我們要滲透一個站點，我們自己構造一個有跨站漏洞的網頁，然後構造跨站語句，通過結合其它技術，如社會工程學等，欺騙目標服務器的管理員打開。

    XSS分為：存儲型和反射型
    存儲型XSS：存儲型XSS，持久化，代碼是存儲在服務器中的，如在個人信息或發表文章等地方，加入代碼，如果沒有過濾或過濾不嚴，那麽這些代碼將儲存到服務器中。
 

用戶訪問該頁面的時候觸發代碼執行。
這種XSS比較危險，容易造成蠕蟲，盜竊cookie

    反射型XSS：非持久化，需要欺騙用戶自己去點擊鏈接才能觸發XSS代碼（服務器中沒有這樣的頁面和內容） 一般容易出現在搜索頁面

            1、環境的搭建

這裏我以我自己搭建的環境來實驗。
實驗環境下載地址：
鏈接：https://pan.baidu.com/s/1fzz2F5TG0ajMf_WVGxAgtQ 密碼：sgvd

一個是xss的實驗環境，闖關的形式，
另一個是搭建網站的環境，如果自己有的話可以不用下載，直接將xss文件的壓縮包下載來，解壓到網站主目錄www文件夾下即可訪問
環境搭建好之後的首頁應該是這樣的

開始我們的挑戰之旅。請進< 第一關>

XSS闖關挑戰