XSS-Proxy

關於XSS（cross site scripting），相信對此有過研究的人已經感覺到了它的「魅力」，權威機構也公佈了最近的安全數據，xss已經上升爲第二大網絡安全隱患；

於此我想經過此文淺析一下xss-proxy（perl-based）這個工具的具體使用過程，由於如今這個話題好像被互聯網發展的勢頭仍到了「烏托邦」。

1、搭建xss-proxy server

（1）安裝activeperl（perl解析器）

（2）修改xss-proxy.pl

這裏主要是修改code_server和server_port兩個參數，code_server是本地的xss-proxy server服務器域名，我用的是本地地址。

（3）運行xss-proxy.pl

在命令行輸入perl <xss-proxy的路徑>

‍（4）打開谷歌瀏覽器（經本人測試，ie9和firefox不支持傳輸某些格式的文檔），輸入http://192.168.202.111:8888/admin

第一次打開時，Clients和Eval Results兩項是沒有內容的，你們若是有興趣的話能夠本身搭建一個網站進行測試。

2、關於xss2.js

（1）showDoc()

 這個函數的功能就是加載當前用戶瀏覽器窗口的內容到iframe，而後將iframe的內容轉換成一個不大於2048個字節(URL                 長度限制)的url，並將此url做爲對xss-proxy的請求。

（2）scriptRequest()

 每12秒運行一次，用於與xss-proxy server的交互，包括一些javascript evaluate results。

（3）reportError()

 報告錯誤信息，如Dom對象訪問錯誤等。

3、附件

xss-proxy.pl

xss2.js

‍‍‍