美文网首页
如何测试XSS漏洞

如何测试XSS漏洞

作者: 留白_bb77 | 来源:发表于2019-04-10 17:49 被阅读0次

    如何测试XSS漏洞

    方法一:  查看代码,查找关键的变量,   客户端将数据传送给Web 服务端一般通过三种方式 Querystring, Form表单,以及cookie.  例如在ASP的程序中,通过Request对象获取客户端的变量

    <%

    strUserCode =  Request.QueryString(“code”);

    strUser =  Request.Form(“USER”);

    strID =    Request.Cookies(“ID”);

    %>

    假如变量没有经过htmlEncode处理, 那么这个变量就存在一个XSS漏洞

     方法二: 准备测试脚本,

    "/><script>alert(document.cookie)</script><!--

    alert(document.cookie)

    "onclick="alert(document.cookie)

     在网页中的Textbox或者其他能输入数据的地方,输入这些测试脚本, 看能不能弹出对话框,能弹出的话说明存在XSS漏洞

     在URL中查看有那些变量通过URL把值传给Web服务器, 把这些变量的值退换成我们的测试的脚本。  然后看我们的脚本是否能执行

    方法三:  自动化测试XSS漏洞

    现在已经有很多XSS扫描工具了。 实现XSS自动化测试非常简单,只需要用HttpWebRequest类。 把包含xss 测试脚本。发送给Web服务器。 然后查看HttpWebResponse中,我们的XSS测试脚本是否已经注入进去了。

    相关文章

      网友评论

          本文标题:如何测试XSS漏洞

          本文链接:https://www.haomeiwen.com/subject/hdloiqtx.html