前言
XDT(XSS Detection Tool)是一个基于Python的XSS自动化检测工具。
关于Python
作为最受欢迎的程序设计语言之一,其语法简洁,代码执行快速(不需编译),具有丰富和强大的库,可以帮助处理各种工作,包括线程、数据库、文档生成、正则表达式、单元测试、网页浏览器、CGI、FTP、电子邮件等等。由于其简单快速且强大的特性,测试工具开发者偏爱使用Python进行开发,这里,对于XDT的实现我也选择使用它来进行实现。
关于XSS
1.XSS介绍
XSS(Cross Site Scripting,跨站脚本攻击)是一类特殊的Web客户端脚本注入攻击手段,通常指攻击者通过“HTML注入”篡改了网页,插入恶意的脚本,从而在用户浏览网页时控制浏览器的一种攻击。
当应用程序发送给浏览器的页面中包含用户提供的数据,而这些数据没有经过适当的转义,或者在这些内容被显示在页面之前没有验证它们都是安全的,使得输入被视为浏览器中的动态内容,就会导致存在跨站脚本漏洞。
2.XSS分类
反射型XSS是把用户输入的数据“反射”给浏览器,攻击代码主要存在于用户请求的URL路径当中。反射型XSS是一次性的,也被称作非持久性XSS。
存储型XSS提交的恶意脚本代码会持久存在服务器端,因此这种类型的XSS也被称为持久型XSS。