什么是xss盲打？

盲打仅仅是一种惯称的说法，就是不知道后台不知道有没有xss存在的情况下，不顾一切的输入xss代码在留言啊，feedback啊之类的地方，尽可能多的尝试xss的语句与语句的存在方式，就叫盲打。

“xss盲打”是指在攻击者对数据提交后展现的后台未知的情况下，站点採用了攻击者插入了带真实攻击功能的xss攻击代码（一般是使用script标签引入远程的js）的数据。当未知后台在展现时没有对这些提交的数据进行过滤，那么后台管理人员在操作时就会触发xss来实现攻击者预定好的“真实攻击功能”。

通俗讲就是见到输入框就输入提前准备的xss代码，一般是使用script标签引入远程的js代码，当有后台人员审核提交数据时候，点击了提交的数据，触发获取到有价值信息。

參考引用：http://www.2cto.com/Article/201212/180534.html

http://lcx.cc/?i=3981