测试小生 Li_Hugo
微博:http://weibo.com/lz2012bj
XSS测试
上一篇 /
下一篇 2013-09-30 14:40:06
Cross Site Script(XSS),跨站脚本威胁。
XSS之所以会发生, 是因为用户输入的数据变成了代码。 所以我们需要对用户输入的数据进行HTML Encode处理。 将其中的"中括号", “单引号”,“引号” 之类的特殊字符进行编码。
恶意攻击者可以利用跨站脚本攻击做到:
1、盗取用户cookie,伪造用户身份登录;
2、让浏览者被迫执行某页面操作,以用户身份向服务器发起请求,达到攻击目的;
3、结合浏览器漏洞,下载病毒木马到浏览者的计算机上执行;
4、衍生url跳转漏洞;
5、让官方网站出现钓鱼页面;
6、蠕虫攻击。
跨站脚本攻击有几种情形:
a、html属性位置
b、html标签内
c、javascript标签块内
3.2 测试条件
3.3 XSS测试方法
手工测试:
Payload |
---|
"><script>alert(1)</script>
|
<script>alert(1)</script>
|
将以上内容插入到HTTP请求参数中,如果在请求的返回源代码中,ctrl+f搜索到alert(1),并且"><等特殊字符没有被编码过,是原样输出,则存在XSS问题
工具测试:
在Chrome中启用QWSTF插件,然后模拟用户点击操作,或在浏览器中直接请求URL接口,插件会自动进行XSS测试,测试结果会以标签页的形式展现,目前不会有误报的情况。
收藏
举报
TAG: