渗透测试工程师：XSS跨站漏洞系统培训课程（暂无资源）

【简介】

先解释一下概念XSS攻击全称跨站脚本攻击,英文名Cross Site Scripting。全程简单知道一下即可，没啥用。因为为了与CSS避开，所以他叫XSS。他是一种在web应用中的计算机安全漏洞，允许恶意web用户将代码植入到提供给其它用户使用的页面中。我们今天的教程就可以示例为xss基础教程之xss跨站脚本攻击系列培训。

教程一共九课时，详细介绍及教会工程师如何利用XSS和如何构造XSS漏洞。

教程的第一章即什么是xss。
这个我可以在这里先小小的剧透，XSS是一种经常出现在web应用中的计算机安全漏洞，它允许恶意web用户将代码植入到提供给其它用户使用的页面中。
比如这些代码包括HTML代码和客户端脚本。攻击者利用XSS漏洞旁路掉访问控制——例如同源策略。这种类型的漏洞由于被黑客用来编写危害性更大的网络钓鱼攻击而变得广为人知。对于跨站脚本攻击，黑客界共识是：跨站脚本攻击是新型的“缓冲区溢出攻击“，而JavaScript是新型的“ShellCode”。

一般来说，xss漏洞分类有三种，
本地利用漏洞，这种漏洞存在于页面中客户端脚本自身。
反射式漏洞，这种漏洞和本地漏洞有些类似，不同的是Web客户端使用Server端脚本生成页面为用户提供数据时，如果未经验证的用户数据被包含在页面中而未经HTML实体编码，客户端代码便能够注入到动态页面中。

存储式漏洞，该类型是应用最为广泛而且有可能影响到Web服务器自身安全的漏洞，骇客将攻击脚本上传到Web服务器上，使得所有访问该页面的用户都面临信息泄漏的可能，其中也包括了Web服务器的管理员。

和大家透露这么多了，这些都是科普性的介绍一下基本知识，教程里有的是实战教学，大家还需努力哇。

教程下载