XSS实例教学(YY游戏直播)网站安全自学php

这是YY游戏直播的一个XSS，上报过，只是说没啥危害（反射型XSS，好像多数都没啥实际危害），所有俺也就来这里给写写为啥它能弹框框。

说是教学，其实俺还没达到能教别人的境界，只是给还没入门的人看看，XSS是怎么形成的，在俗一点就是它为什么能弹框框呢。

啥是XSS就不说了，不懂也没必要往下看了。

那XSS如何形成的呢？这说起来话就长了，长话短说呢就是：对用户输入的数据没做检查，或者是没有仔细检查，把用户输入的数据，当程序执行了。

图：

看payload的位置，就知道是page参数的问题了

在看图：

看到了没？上面直接输出了，输入的page参数是什么，输出的就是什么。

用">闭合了标签，然后后面的alert就弹框框了，当然现在这样弹框框，IE都可以拦截下的，不过至少知道为啥它能弹框框了。