Web安全性测试之XSS

XSS 全称(Cross Site Scripting) 跨站脚本攻击， 是Web程序中最常见的漏洞。指攻击者在网页中嵌入客户端脚本(例如javascript), 当用户浏览此网页时，脚本就会在用户的浏览器上执行，从而达到攻击者的目的.  比如获取用户的Cookie，导航到恶意网站,携带木马等。
作为测试人员，需要了解XSS的原理，攻击场景，www.xuhantao.com，涛涛电脑知识网，如何修复。 才能有效的防止XSS的发生。
 
阅读目录
XSS 是如何发生的
HTML Encode
XSS 攻击场景
XSS漏洞的修复
如何测试XSS漏洞
HTML Encode 和URL Encode的区别
浏览器中的XSS过滤器
ASP.NET中的XSS安全机制
XSS 是如何发生的呢
 
假如有下面一个textbox
<input type="text" name="address1" value="value1from">
value1from是来自用户的输入，如果用户不是输入value1from,而是输入"/><script>alert(documents.cookie)</script><!- 那么就会变成
<input type="text" name="address1" value=""/><script>alert(documents.cookie)</script><!- ">
嵌入的javascript代码将会被执行
 
或者用户输入的是  "onfocus="alert(documents.cookie)      那么就会变成
<input type="text" name="address1" value="" onfocus="alert(documents.cookie)">
 事件被触发的时候嵌入的javascript代码将会被执行
 攻击的威力，取决于用户输入了什么样的脚本
 
当然用户提交的数据还可以通过QueryString(放在URL中)和Cookie发送给服务器. 例如下图
 

• 没有相关文章