XSS是指攻擊者在網頁中嵌入惡意腳本，通常是JavaScript編寫的惡意代碼，當用戶使用瀏覽器瀏覽被嵌入惡意代碼的網頁時，惡意代碼將會在用戶的瀏覽器上執行。因而，XSS與CSRF一樣，同屬于針對客戶端的攻擊，這與SQL注入、命令執行、文件包含等針對服務器端的攻擊方式有很大不同。

在吳翰清的《白帽子講Web安全》一書中，將黑客技術的發展劃分為三個階段：

在第一階段，黑客們的攻擊目標主要是網絡、操作系統以及軟件。后來隨著防火墻、ACL 技術的興起，以及操作系統自身安全性的不斷完善，這種攻擊方式已越來越少。

在第二階段，黑客們的攻擊目標主要是Web服務器端，典型的方法就是SQL注入。雖然SQL注入漏洞至今仍然是Web 安全領域中的一個重要組成部分，但含有這種漏洞的網站也是越來越少了。

在第三階段，黑客們的攻擊目標主要是客戶端，典型的方法就是XSS、CSRF攻擊。

至于今后的發展方向，移動互聯網等則無疑是一個重點領域。但起碼在很長一段時間內，XSS都會是一種非常重要的攻擊方式，其危害主要體現在以下幾個方面：

XSS攻擊分為反射型和存儲型兩種不同的分類，其基本原理已在之前博文中有過介紹，可供參考：

反射型XSS： http://yttitan.blog.51cto.com/70821/1571910

存儲型XSS： http://yttitan.blog.51cto.com/70821/1572772

接下來我們將分別來分析DVWA中幾種不同級別的XSS測試頁面。需要說明的是，由于XSS是針對客戶端瀏覽器的攻擊，而目前的很多瀏覽器都已經自帶了XSS防御功能，因而建議在一臺安裝有XP或2003系統的虛擬機中，通過IE6瀏覽器去訪問DVWA，否則將無法出現預期的實驗效果。

鄭重聲明：本文版權歸原作者所有，轉載文章僅為傳播更多信息之目的，如作者信息標記有誤，請第一時間聯系我們修改或刪除，多謝。