xss 漏洞掃描是什么意思

xss漏洞掃描就是使用漏洞掃描工具對xss漏洞進行掃描，絕大多數Web漏洞掃描器都可以檢測出某一網站是否存在XSS漏洞，網上也能找到很多專用的XSS檢測工具，常用的xss漏洞掃描工具有XSSer、BruteXSS、AppScan等。

XSS是一個非常常見的Web漏洞，各大互聯網公司對XSS的重視程度差別很大，有的作為高危，有的最多當中危甚至當低危，原因無非是這兩方面：一方面是XSS雖然數量過多但是利用時需要很多前置條件，不容易成功利用；另一方面一但被成功利用危害又較大，會造成盜取帳號、控制數據、盜竊資料、網站掛馬等危害。

xss 分類：

• 反射型XSS：<非持久化>攻擊者事先制作好攻擊鏈接, 需要欺騙用戶自己去點擊鏈接才能觸發XSS代碼（服務器中沒有這樣的頁面和內容），一般容易出現在搜索頁面。

• 存儲型XSS：<持久化>代碼是存儲在服務器中的，如在個人信息或發表文章等地方，加入代碼，如果沒有過濾或過濾不嚴，那么這些代碼將儲存到服務器中，每當有用戶訪問該頁面的時候都會觸發代碼執行，這種XSS非常危險，容易造成蠕蟲，大量盜竊cookie（雖然還有種DOM型XSS，但是也還是包括在存儲型XSS內）。

• DOM型XSS：基于文檔對象模型Document Objeet Model，DOM)的一種漏洞。DOM是一個與平臺、編程語言無關的接口，它允許程序或腳本動態地訪問和更新文檔內容、結構和樣式，處理后的結果能夠成為顯示頁面的一部分。DOM中有很多對象，其中一些是用戶可以操縱的，如uRI ，location，refelTer等。客戶端的腳本程序可以通過DOM動態地檢查和修改頁面內容，它不依賴于提交數據到服務器端，而從客戶端獲得DOM中的數據在本地執行，如果DOM中的數據沒有經過嚴格確認，就會產生DOM XSS漏洞。

回答所涉及的環境：聯想天逸510S、Windows 10。