测试小生 Li_Hugo
微博:http://weibo.com/lz2012bj
XSS测试
Cross Site Script(XSS),跨站脚本威胁。
XSS之所以会发生, 是因为用户输入的数据变成了代码。 所以我们需要对用户输入的数据进行HTML Encode处理。 将其中的"中括号", “单引号”,“引号” 之类的特殊字符进行编码。
恶意攻击者可以利用跨站脚本攻击做到:
1、盗取用户cookie,伪造用户身份登录;
2、让浏览者被迫执行某页面操作,以用户身份向服务器发起请求,达到攻击目的;
3、结合浏览器漏洞,下载病毒木马到浏览者的计算机上执行;
4、衍生url跳转漏洞;
5、让官方网站出现钓鱼页面;
6、蠕虫攻击。
跨站脚本攻击有几种情形:
a、html属性位置
b、html标签内
c、javascript标签块内
3.2 测试条件
| 测试条件 | 测试工具 | 测试方法 | 描述 |
|---|---|---|---|
| 1、存在将用户的输入内容,输出到页面的情况 | 浏览器 | 观察用户提交的数据,最终在页面中有展示 | XSS问题的本质是将用户的输入内容,未做处理,直接输出到页面,所以如果用户提交的数据最后没有返回到页面,没有在返回的response中原样输出,那就不需要测试XSS |
| 2、没没有受QWAF保护 | 浏览器 | 在测试目标URL的路径下访问.svn/entries | 比如要测试的目录域为 http://review.xxx.com/h/dali_3889,可以改为http://review.xxx.com/h/.svn/entries 一但出现页面跳转到http://www.xxxx.com/site/zh/web_error.html,则说明有QWAF保护,无需测试XSS |
3.3 XSS测试方法
手工测试:
| Payload |
|---|
| "><script>alert(1)</script> |
| <script>alert(1)</script> |
将以上内容插入到HTTP请求参数中,如果在请求的返回源代码中,ctrl+f搜索到alert(1),并且"><等特殊字符没有被编码过,是原样输出,则存在XSS问题
工具测试:
在Chrome中启用QWSTF插件,然后模拟用户点击操作,或在浏览器中直接请求URL接口,插件会自动进行XSS测试,测试结果会以标签页的形式展现,目前不会有误报的情况。
TAG:
标题搜索
日历
|
|||||||||
| 日 | 一 | 二 | 三 | 四 | 五 | 六 | |||
| 1 | 2 | 3 | 4 | ||||||
| 5 | 6 | 7 | 8 | 9 | 10 | 11 | |||
| 12 | 13 | 14 | 15 | 16 | 17 | 18 | |||
| 19 | 20 | 21 | 22 | 23 | 24 | 25 | |||
| 26 | 27 | 28 | 29 | 30 | 31 | ||||
我的存档
数据统计
- 访问量: 58559
- 日志数: 60
- 图片数: 1
- 建立时间: 2013-09-30
- 更新时间: 2015-09-06
