XSS平台详解

一、XSS平台原理

XSS（Cross-site scripting）跨站脚本攻击是一种常见的Web攻击手段。攻击者通过在网站中插入有害的脚本，使得用户在访问网站时，浏览器会将脚本执行，导致用户信息泄露。XSS平台就是为了便于对目标网站进行XSS攻击而设计的一种工具。

XSS平台其原理主要是实现了用Javascript封装恶意payload并上传至服务器上，通过对目标url的拼接和参数替换，将恶意payload注入到目标网址中当访问的时候触发漏洞，从而攻击目标网站。

二、XSS平台闯关怎么使用

XSS平台闯关就是用XSS平台对设计好的游戏进行攻击的过程。使用XSS平台闯关的步骤如下：

Step1: 打开XSS平台

https://github.com/CHYbeta/OWASP-WebGoat-XSS-Platform

Step2: 选定闯关游戏，点击选择

python start.py

Step3: 开始攻击

跟据页面提示，在XSS平台中输入你的payload，然后将XSS平台提供的url放到浏览器中打开，当目标网站被攻击时，就可以获取到flag。

三、XSS平台搭建

XSS平台的搭建可以分为两个阶段：

Step1: 安装WebGoat

WebGoat是一款专门为Web安全培训教学而设计的Web应用程序，支持多种Web漏洞，包括XSS。在本地搭建XSS平台的第一步就是要安装这个WebGoat。

### 安装Java（参考：https://www.cnblogs.com/zhoudayang/p/11209135.html）
yum install -y java-1.8.0-openjdk.x86_64
### clone WebGoat
git clone https://github.com/WebGoat/WebGoat.git
cd WebGoat
### 运行WebGoat
./run_webgoat.sh

Step2: 安装XSSPlatform

XSSPlatform是在WebGoat基础上开发出来的一套练习XSS的平台。在WebGoat站点根目录下，以以下命令进行下载安装：

wget https://github.com/CHYbeta/OWASP-WebGoat-XSS-Platform/archive/master.zip
unzip -q master.zip -d .. && mv ../OWASP-WebGoat-XSS-Platform-master/ ./WebGoat-XSS-Platform

安装完成后，可以访问 http://127.0.0.1:8080/WebGoat-XSS-Platform/ 进行XSS漏洞的学习和演示。

四、XSS平台搭建教程

XSS平台的搭建可以分为三个步骤：

Step1: 下载WebGoat

WebGoat是一款专门为Web安全培训教学而设计的Web应用程序，支持多种Web漏洞，包括XSS。在本地搭建XSS平台的第一步是要下载这个WebGoat。

wget https://github.com/WebGoat/WebGoat/releases/download/v8.1.0/webgoat-server-8.1.0-war-exec.jar

Step2: 下载XSSPlatform

XSSPlatform是在WebGoat基础上开发出来的一套练习XSS的平台。在WebGoat站点根目录下，以以下命令进行下载安装：

wget https://github.com/CHYbeta/OWASP-WebGoat-XSS-Platform/archive/master.zip
unzip -q master.zip -d .. && mv ../OWASP-WebGoat-XSS-Platform-master/ ./WebGoat-XSS-Platform

Step3: 启动WebGoat

nohup java -jar ./webgoat-server-8.1.0-war-exec.jar --server.address=127.0.0.1 --server.port=8888 > /dev/null 2>&1 &

安装完成后，可以访问 http://127.0.0.1:8888/WebGoat 进行XSS漏洞的学习和演示。

五、XSS平台是什么

前文我们已经提到，XSS平台就是一种用于漏洞测试或攻击的工具，更具体的定义是，XSS平台可以帮助安全从业人员和攻击者，自动化的实现XSS攻击测试，从而提高漏洞的发现效率和准确度。

六、XSS平台使用教程

XSS平台的使用教程大致如下：

Step1: 打开XSS平台，在payload编辑器中编写自己的payload

Step2: 在目标站点中找到能够执行XSS攻击的地方，比如表单中

Step3: 将payload发送到目标站点

Step4: 当用户访问含XSS代码的页面时，代码自动执行，攻击者拿到cookie，从而进行其他一些操作。

七、XSS平台游戏

XSS平台一般都是结合游戏的形式提供，以加强学习趣味性。比如WebGoat中的XSSPlatform，是WebGoat开发了一个XSS游戏平台。在这里我们可以尽情地测试和学习XSS攻击相关知识。

八、XSS平台搭建步骤

XSS平台的搭建步骤通常可以分为以下几步：

Step1: 部署Web应用程序，比如WebGoat

Step2: 下载XSS平台，解压并放到Web应用程序中

Step3: 启动Web应用程序

之后，在XSS平台中我们就可以开始编写payload，开始对Web应用程序进行XSS攻击了。

九、XSS平台使用方法

XSS平台的使用方法主要分为如下两步：

Step1: 编写自己的payload

Step2: 将payload注入到目标站点中，并在用户访问时触发

当用户访问含XSS代码的页面时，代码自动执行，攻击者拿到cookie，从而进行其他一些操作。

十、XSS平台源码

XSS平台的源代码通常都是开源的，其中比较著名的几个有WebGoat、HackThisSite、DVWA等。在Github上，可以找到很多XSS相关的工具和平台，比如XSStrike、Beef、XSS-Payloads、XSS-Scanner、BXSS、反射XSS、DOM based XSS等。