如何测试XSS漏洞

如何测试XSS漏洞

方法一:  查看代码,查找关键的变量,   客户端将数据传送给Web 服务端一般通过三种方式 Querystring, Form表单,以及cookie.  例如在ASP的程序中,通过Request对象获取客户端的变量

<%

strUserCode =  Request.QueryString(“code”);

strUser =  Request.Form(“USER”);

strID =    Request.Cookies(“ID”);

%>

假如变量没有经过htmlEncode处理, 那么这个变量就存在一个XSS漏洞


 方法二: 准备测试脚本,

"/><script>alert(document.cookie)</script><!--

alert(document.cookie)

"onclick="alert(document.cookie)

 在网页中的Textbox或者其他能输入数据的地方,输入这些测试脚本, 看能不能弹出对话框,能弹出的话说明存在XSS漏洞

 在URL中查看有那些变量通过URL把值传给Web服务器, 把这些变量的值退换成我们的测试的脚本。  然后看我们的脚本是否能执行


方法三:  自动化测试XSS漏洞

现在已经有很多XSS扫描工具了。 实现XSS自动化测试非常简单,只需要用HttpWebRequest类。 把包含xss 测试脚本。发送给Web服务器。 然后查看HttpWebResponse中,我们的XSS测试脚本是否已经注入进去了。

最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
【社区内容提示】社区部分内容疑似由AI辅助生成,浏览时请结合常识与多方信息审慎甄别。
平台声明:文章内容(如有图片或视频亦包括在内)由作者上传并发布,文章内容仅代表作者本人观点,简书系信息发布平台,仅提供信息存储服务。

相关阅读更多精彩内容

  • 王文卓 课堂笔记 1、为什么要学习Shell编程? Linux系统中会大量的使用Shell,工作中我们也需要自动化...
    Wave_e430阅读 466评论 0 0
  • 什么是XSS? 跨站脚本(Cross-Site Scripting,XSS)是一种经常出现在 Web 应用程序中的...
    lokisteven阅读 1,793评论 0 2
  • 最近出现过苹果审核被拒的情况,我对之前出现过的一些问题进行了总结: 苹果App Store审核指南https://...
    运琴的简书阅读 2,645评论 0 1
  • 粉丝是一个公众号的生命,用老梁话可以这么讲粉丝就是大唐雷音寺的衣食父母,你们也可不当衣食父母对待,但最起码的尊重,...
    凉饭饭阅读 1,657评论 0 1
  • 腊梅枝上绽娇颜,游客花前秀影甜。 我惋芬芳园子里,谁憎风韵峭崖边。 寒霜酷雪严冬冷,傲骨凝香爱意坚。 高雅不嫌知己...
    原始生命阅读 801评论 63 92

友情链接更多精彩内容