XSS中Shellcode概念

Shellcode：最初是溢出程序和蠕虫病毒的核心，实际上是指利用一个漏洞时所执行的代码。在XSS中，是指由JavaScript等脚本编写的XSS利用代码。
Exploit：意思是“漏洞利用”表示一段对漏洞如何利用的详细说明或者一个演示的漏洞攻击代码，可以使得读者完全了解漏洞的机理以及利用的方法。
Poc：Proof ofConcept，是一段证明漏洞存在的程序代码片段,一般出现在漏洞报告中，是一段说明或者一个攻击的样例，使得读者能够确认这个漏洞是真实存在的。
CVE漏洞编号，CVE 的英文全称是“Common Vulnerabilities & Exposures”公共漏洞和暴露，如CVE-2015-0057。如果在一个漏洞报告中指明的一个漏洞，有CVE名称，就可以快速地在任何其它CVE兼容的数据库中找到相应修补的信息，解决安全问题。
可以在https://cve.mitre.org/网站根据漏洞的CVE编号搜索该漏洞的介绍。
也可以在中文社区http://www.scap.org.cn/上搜索关于漏洞的介绍。

Shellcode一般直接写入页面中执行，但是实际中会有服务器端的过滤过对输入的一些限制等，所以攻击者往往把Shellcode写到远程服务器上，然后利用<script>等标签对其进行调用，或者使用一些本地存储对象对其进行存储和调用。如运用基于DOM的方法穿件和插入节点、利用XSS downloader下载器、利用windows.location.hash属性等，把脚本或HTML注入到网页。