XSS手工及工具挖掘

XSS可能存在的地方

	HTML context
	Attribute Context
	URL Context
	Style Context
	Script Context

XSS测试方法

工具扫描：APPscan、AWVS

		Cross site scripting类型
			验证的时候，标准是弹出对话框，否则基本是误报

手工测试：Burpsuite、firefox(hackbar)、XSSER XSSF（谷歌浏览器）

		使用手工检测Web应用程序是否存在XSS漏洞时，最重要的是考虑那里有输入，输入的数据在什么地方输出。在进行手工检测XSS时，人毕竟不像软件那样不知疲惫，所以一定要选择有特殊意义的字符，这样可以快速测试是否存在XSS。
			（1）在目标站点上找到输入点,比如查询接口,留言板等;
			（2）输入一组"特殊字符+唯一识别字符",点击提交后,查看返回的源码,是否有做对应的处理(看看是否被转译掉了，如果转译了，则说明程序员做了防范措施)
			（3）通过搜索定位到唯一字符,结合唯一字符前后语法确认是否可以构造执行js的条件(构造闭合);提交构造的脚本代码,看是否可以成功执行（复制响应字符到浏览器）,如果成功执行则说明存在XSS漏洞;

firefox(hackbar)安装

			作用
				模拟一些post refer跨站
					地址栏只能模拟输入get型跨站
			首先安装“火狐浏览器”
			安装完后，打开火狐浏览器，在工具 附加组件里搜索“HackBar”并安装
			安装完后，重启一下火狐浏览器才会生效
			重启完后，打开百度，你会发现标签栏处多了一些工具条，它就是HackBar插件，首次打开是开启的，可以通过F12来调用hackbar。（注意网上很多都是写的F9，最新版的跟开发者页面融合在一起了，你要进行选择）

XSSER XSSF（由360开发基于谷歌浏览器的插件）安装与使用

			在谷歌浏览器中打开就可以安装了
				https://chrome.google.com/webstore/detail/domxss-tester/pnhekakhikkhloodcedfcmfpjddcagpi?hl=zh-CN
			使用
				在目标列表添加需要检测的站点
				插入你的payload