liguangyao213的博客

下载xss_platformdocker search xssxss平台没有统一的名称，只能按照xss关键词来进行搜索定位到之后进行下载docker pull wushangleon/xss_platform启动docker，这里我用一个不常用的8001端口做映射docker run -d --name=xss_platform -p 8001:80 wushangleon/xss_platformdocker ps #查看已经启动浏览器访问：http://ip:8001/配置

现在很多的网站，BBS都有留言板，我们来看一下给大家准备的网站：在这里呢，留有输入框给用户进行留言，来发布个人对该网站的看法等。但是作为这个留言板的开发人员你有注意过用户写入的内容都是安全的么？你对其输入的内容有限制么？如果没有限制那这里就会存在一个存储型的xss，一旦存在这个漏洞，轻则会获取管理员cookie，严重的话就会利用该漏洞对服务器感染病毒木马，甚至利用该网站进行传播病...

正如标题，作为一个前端开发人员你在接收url传递过来的参数时候你对其内容有做过滤判断么？还是拿来直接使用呢？假如你是直接拿来使用那么在网站安全上就存在xss漏洞，这种漏洞的危害可大可小，小的话你可能看到的是一个弹框，大的话可能被利用起来进行传播木马病毒，危害计算机。我们来看一下这个网站：这里id=1的值被前端开发人员直接拿来写到了页面当中：那么我们来看，我们在这个...