XSS全称(Cross Site Scripting)跨站脚本攻击,是Web程序中最常见的漏洞,指攻击者在网页中嵌入客户端脚本(例如JavaScript),当用户浏览此网页时,脚本就会在用户的浏览器上执行,从而达到攻击者的目的,比如获取用户的Cookie,导航到恶意网站,携带木马等。
作为测试人员,需要了解XSS的原理,攻击场景,如何修复,才能有效的防止XSS的发生。
阅读目录
1.XSS是如何发生的的
2.HTML ENcode
3.XSS攻击场景
4.XSS漏洞的修复
5.如何测试XSS漏洞
6.HTML Encode和URL Encode的区别
7.浏览器中的XSS过滤器
8.ASP.NET中的XSS安全机制
- XSS是如何发生的呢
假如有下面一个textbox
<。input type=“text” name=“address1” value=“value1from”>value1from是来自用户的输入,如果用户不是输入value1from,而是输入 “/><。script>alert(document.cookie)<!- 那么就会变成
<。input type=“text” name=“address1” value=”"/><。script>alert(document.cookie)<!- ">
嵌入的JavaScript代码将会被执行
或者用户输入的是 "οnfοcus="alert(document.cookie) 那么就会变成
事件被触发的时候嵌入的JavaScript代码将会被执行
攻击的威力,