1.xss定义
跨站脚本攻击xss。恶意攻击者往web页面插入恶意script代码,当用户浏览该页时,其中web里面的script代码会被执行,从而达到恶意攻击用户的目的
2.xss的原理
3.xss攻击的危害
盗用用户cookie、破坏页面结构、导航到恶意网站、获取浏览器信息、携带木马等
4.如何测试xss漏洞
- 查看代码,查找关键的变量,客户端将数据传送给web服务端一般通过三种方式Querystring,Form表单,以及cookie,加入变量没有经过HTMLEncode处理,那么变量旧存在一个xss漏洞
- 准备测试脚本
- "/>alert(document.cookie)alert(document.cookie)
ck="alert(document.cookie)
在网页中的textbox或者其他输入数据的地方,输入脚本,如果弹出对话框说明存在xss漏洞在URL中查看那些变量通过URL把值传给web服务器,把这些变量的值退换成我们的测试的脚本然后看我们的脚本是否执行