2019-02-18 了解xss

今天dark给我找了一些学习资料，看似小子不上心，但是能深感兄弟的上心，我刚说要学，资料就到为了。
感谢下dark。
https://sec-wiki.com/skill/2 这基本是我学习的一个路线图，顺便我也在网易云课堂也买了一些课，课程也不贵。
当然我不是在这卖课，不过我也走了弯路，就是不知道课应该从头听还是选择听，最终我选择了按照大纲来，不懂的再说。

介绍下xss漏洞，
xss漏洞其实很早就知道，但是没有深入了解原理。
学习链接：https://study.163.com/course/courseLearn.htm?courseId=1006068111#/learn/video?lessonId=1053462814&courseId=1006068111
视频学习时间：20分钟（都耽误到纠结从哪看了，都不好意思写，丢人）

之前一直不太理解xss漏洞，今天看了视频演示发现，xss是java script脚本在运行时，
我注入了 <script> alert(1) </script> 于是就弹出了弹窗1，
我就很蒙逼，弹就弹呗……又怎样？
接着看视频，发现alert(1)是蒙我这种小白的，人家都是注入的是一个恶意hook的js脚本，直接你服务器就透明了……
可以查看你的cookie（cookie是登陆网站的标识，用于记录用户登录网站时的身份），然后就可以模拟用户登录了……
心里有点小恐慌没？
尽管有些策略可以屏蔽这种动态脚本执行，但是你注入时也会有绕过的手段，比如说
<sCripT> alert(1) </sCripT>
<sc<script>ript> alert(1) </scr</script>ipt>
大小写变换，重复写一次均可绕过，感觉黑客真是思考常人所不思考，做了这么多年的研发从来没寻思过还有人绕过我。

整理下今天学习的内容：
burp 基本是黑客必备的工具了 https://study.163.com/course/introduction.htm?courseId=1005919007#/courseDetail?tab=1 收费的教程，不喜欢的可以不买，请妹子吃顿饭的钱估计你都能买下全套视频了，所以不喜勿BB，当然我还没看。
dvwa 用于搭建学习的靶场
BeEF https://github.com/beefproject/beef/wiki 浏览器攻击框架(我也不太理解干嘛用的，明天得仔细查查)