目录介绍：

• 1、2022年xss还值得买吗
• 2、发现XSS漏洞的一般做法有哪些？
• 3、xss买日版还是国行

2022年xss还值得买吗

2022年xss不值得买了，显示器是1080p高刷，xss未必比你的游戏本体验更好；

平日工作学习可以通过分区、加硬盘、不同系统的方式分开，购置新设备也该是购入续航持久、轻便安静的轻薄本而不是用途基本重合、性能羸弱的xss；

但是，有闲钱还想体验一下的话买了玩玩、玩够了或者吃灰出二手就是，没必要想太多，本就不贵的东西也亏不了多少钱，

发现XSS漏洞的一般做法有哪些？

关于发现时间，要具体到是检测什么目标了。找google的，和找腾讯的时间肯定不会一样。 至于“你们一般都是如何发现xss漏洞的？” 不同类型的XSS漏洞，可能不尽相同。

1.对于反射型XSS以及一些DOM XSS，一般建议是开发一些自动化的扫描工具进行扫描，并辅以手工分析。 另外一方面，搜索引擎也是快速寻找具有缺陷参数的好办法。

2.对于存储型XSS，

1) 对于单纯的输入-存储-输出点 的情况 （输入与输出点关系：一个地方输入，会有多个地方输出；不同地方输入，同一地方输出。绕了点 T T ...）。常规测试是正向直接输入内容，然后在输出点查看是否未过滤，当然你也可以先大胆假设输出点未过滤，反向寻找在何处进行输入，进而测试。

2）对于富文本，则需要对过滤器进行fuzz测试（人脑+自动化）了，正好乌云drops上有乌乌发了一篇：fuzzing XSS filter

3）第三类，就是一些WEB应用中所出现的DOM-存储型XSS，即输出点的无害内容，会经过js的一些dom操作变得危险（本质上和 第1点里的dom xss成因是一样的）。这一类的挖掘方法，个人觉得不太好总结。 其一，需要熟悉WEB应用的功能，其二，知道功能所对应的JS代码有哪些，其三，凭直觉猜测程序员会在哪些功能出现可能导致XSS的过滤遗忘或过滤错误（直觉是唬人的，其实就是你知道某些功能会需要某些代码实现，而这些代码常常容易出错），其四，需要有较好的代码阅读跟踪能力（JS一大坨。。还是蛮难读的.... 有些代码被混淆过，十分不易阅读，就会涉及到如何下断点进行调试的小技巧）。 我想，挖掘这一类的前提可能是需要有不错的前端开发经验，写多了，才会有足够的嗅觉。

其实吧，有时候专门去找漏洞会很累的，大什么怡情，小什么伤身，因此，我们还不如开心的敲敲代码，听听歌，静待生命中那些意外的收获。 这些收获经常来自身边的人发给你的一些事物。

最后，不论如何，基础很重要吧，内力不足，招式再多也没用，反之，草木竹石皆可为剑。

xss买日版还是国行

国行。

iPhoneXS日版和国行的主要配置是一样的，包括处理器、摄像头参数、防水防尘以及屏幕参数等。

iPhoneXS日版和国行区别在于：价格更低，但是没有国行特供的双卡双待功能，而且iPhoneXS日版拍照声音不能关闭。在大陆不能享受保修政策。

iPhoneXS日版摄像头拍照声音不能关闭，不过如果使用第三方拍照APP可以解决这个问题。

iPhoneXS参数：

Phone XS有3种颜色：银色、深空灰色和金色；采用iOS 12操作系统；屏幕尺寸：5.8英寸；支持2436x1125像素分辨率。支持4K视频拍摄。前置摄像头700万像素；后置双摄像头1200万像素。iPhone XS有3种容量：64GB，256GB，512GB；在中国特别推出双SIM卡的iPhone XS Max手机，其他地区为eSIM卡。

iPhone XS搭载了A12仿生芯片，性能最高提升15%，小核最高节能50%；可实现光圈的模拟调节，最大可模拟调节f/1.4的光圈，前置700万像素，f/2.2，带有更快的传感器。