xss-labs-level1

环境：

目标网站：192.168.99.122:9003/xss-labs/level1.php

攻击环境：浏览器

原理：

XSS攻击通常指的是通过利用网页开发时留下的漏洞，通过巧妙的方法注入恶意指令代码到网页，使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript，但实际上也可以包括Java、 VBScript、ActiveX、 Flash 或者甚至是普通的HTML。攻击成功后，攻击者可能得到包括但不限于更高的权限（如执行一些操作）、私密网页内容、会话和cookie等各种内容。

常用的XSS攻击手段和目的有：

1、盗用cookie，获取敏感信息。

2、利用植入Flash，通过crossdomain权限设置进一步获取更高权限；或者利用Java等得到类似的操作。

3、利用iframe、frame、XMLHttpRequest或上述Flash等方式，以（被攻击）用户的身份执行一些管理动作，或执行一些一般的如发微博、加好友、发私信等操作。

4、利用可被攻击的域受到其他域信任的特点，以受信任来源的身份请求一些平时不允许的操作，如进行不当的投票活动。

5、在访问量极大的一些页面上的XSS可以攻击一些小型网站，实现DDoS攻击的效果。

目标：

让目标网站进行弹窗

步骤：

1.首先打开页面

http://192.168.99.122:9003/xss-labs/level1.php

可以看到向页面中传递了一个name参数,并把参数显示到页面上，并在下方显示字符的长度。

2.给name参数进行重新赋值：<script>alert("XSS")</script>可以看到顺利执行弹窗代码。