最近很火的Xss漏洞怎么办？

1，有针对性的挂马，所以这类网站一定是游戏网站，银行网站或者关于qq，淘宝或者有相当影响力的网站。他们一定有我们平时需要盗取的账号密码；当然也可能是这个网站的浏览量挺高的，可以多挂马。而如果只是一个普通的小网站的XSS漏洞，如果我们要挂马的话，那还不如直接贴特洛伊页面地址。2.要在用户的许可下运营这样的网站，你必须要有会员，而这些会员有很多我们需要的有意义的操作或者内部的个人资料，所以我们可以通过XSS对登录的有权限的访客进行操作。我认为窃取cookies应该算作这一项，因为其目的也是为了获取用户的操作权限(包括窃取密码)，从而获取用户的一些信息或者在权限下进行相关操作。3，Dos攻击或者傀儡机，这也需要一个访问量非常大的站点，不如利用小站点自己攻击或者获取信息。我们可以通过这个页面的访问用户持续攻击其他站点，或者扫描局域网等等。这样的js工具早就有了，比如js端口扫描，jikto，xssshell等等。4.一般来说，这种情况主要发生在论坛或者信息管理系统。简而言之，必须有管理员。这就要求攻击者对目标系统相当熟悉(一般这类系统需要开源代码)，从而知道如何构造语句来解除权限。5、实现特效，比如Monyer在百度空间插入视频，插入章节；比如有人在新浪博客或者校园网上实现特效等等。结论:所以，你要了解这些网站的性质:极高的访问量，会员，管理员，有价值的账号密码，或者有意义的实现特效。如果你读过XSS的Ajax Hacking，你应该知道XSS至少包括七种方式，如输入XSS和文本区XSS。其中，url XSS属于输入XSS，这些漏洞大部分属于保留XSS，而textarea XSS一般属于非保留XSS。这意味着对一个页面的正常访问不会触发保留XSS，尽管这是大多数网站的漏洞，搜索部分也称为搜索XSS漏洞。所以当你得到一个输入XSS，你只需提醒一个小盒子。你跟别人吹牛，你找了个漏洞，你可以提醒他一个框框，但实际上你什么都做不了。即使你能挂一些木马，也是没有意义的——因为你还不如在自己的虚拟主机里做XSS页面，发给别人。这与sql注入不同。XSS毕竟是一个客户端的东西。sql注入的目的往往是获得目标系统的权限，sql语句本身执行服务器的指令；然而，XSS一般是从客户那里得到东西并执行客户的指令。所以他们可以喊“出事了”，但是你不能喊，因为“警报”在xss窗口之外。

寻求收养