XSS(Cross Site Scripting)测试注意

最新推荐文章于 2023-03-29 21:32:47 发布
置顶 最新推荐文章于 2023-03-29 21:32:47 发布
阅读量1.2k 收藏 1
点赞数
分类专栏: 安全测试 软件测试 文章标签: scripting 测试 javascript 浏览器 工具 ie
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/flm2003/article/details/6181413
版权

     在测试程序XSS(Cross Site Scripting)漏洞的时候可以借助一些工具,如Paros等开源的工具,同时也要自己构造一些参数和页面整合,来查看程序的安全性!测试时要注意三种情况:

 

1.直接那这种没处理过的代码和页面组合

 

>"'><script>alert(‘XSS')</script>

2.将代码转换为ASCII码形式和页面进行组合

 

>"'><script>alert(‘XSS')</script>  变成ASCII码形式:%3E%22%27%3E%3C%73%63%72%69%70%74%3E%61%6C%65%72%74%28%2018%58%53%53%27%29%3C%2F%73%63%72%69%70%74%3E

3.将代码部分转换为ASCII码和页面进行组合

 

 >"'><img src="javascript:alert('XSS')">    部分转换为ASCII码形式>%22%27><img%20src%3d%22javascript:alert(%27XSS%27)%22>

 

另外测试时在IE6浏览器中可以直接看到效果,在IE7、火狐、谷歌内核的浏览器中就看不到效果!

flm2003
关注
专栏目录
跨站脚本攻击XSS(Cross Site Scripting)总结
野原新之助
01-31 1137
XSS是指开发者在开发网页时,对用户的输入没有进行安全过滤,导致用户在可以输入内容的地方,插入脚本语句,执行恶意脚本代码,可以对数据库、服务器、用户等造成影响和危害,危险等级很高,也很常见。
DVWA关卡11:Reflected Cross Site Scripting (XSS)(反射型XSS
m0_54899775的博客
12-12 1057
DVWA关卡11:Reflected Cross Site Scripting (XSS)(反射型XSS
XSS (Cross Site Scripting) Prevention Cheat Sheet(XSS防护检查单)
weixin_33851429的博客
02-28 478
本文是 XSS防御检查单的翻译版本 https://www.owasp.org/index.php/XSS_%28Cross_Site_Scripting%29_Prevention_Cheat_Sheet 介绍 本文描述了一种恰当地使用输出转码或者转义(encoding or escaping)防御XSS攻击的简单积极模式。 尽管存在巨量XSS攻击方式,遵守一些简单的规则能够彻底防住这类严...
漏洞挖掘——实验12 Cross-Site Scripting (XSS) Attack Lab
一半西瓜的博客
04-17 3433
题目 Lab Cross-Site Scripting (XSS) Attack Lab Pre 1、名词解释:double free,UAF (Use After Free),RELRO(Relocation Read Only), Dangling pointer,Control Flow Guard 2、阅读下面这三篇文章: UAF学习--原理及利用 https://www.cnb...
跨站脚本攻击(Cross Site Scripting)
Cfoxer的博客
12-20 419
XSS简介,payload介绍
Bug.Bounty.Bootcamp:Chapter 6: Cross-Site Scripting
lm19770429的专栏
02-23 3224
For instance, a script that sets the location of a web page will make the browser redirect to the location specified: <script>location="http://attacker.com";</script>
web安全学习笔记(七) XSS(Cross-site scripting)跨站脚本漏洞
qycc3391的博客
03-03 3593
1.XSS原理解析 HTML中,有着<script></script>标签,用于定义客户端脚本。在<script>与</script>之间输入代码,即可实现一些特殊效果。 例如,新建两个文件,xxstest.html 和 PrintSrc.php两个文件: <form action = "PrintStr.php" method="post"&...
XSS.rar_XSS_cross scripting_cross site java_cross site scripting
09-14
XSS,全称为"Cross Site Scripting",是一种常见的网络安全漏洞,它允许攻击者在用户的浏览器中注入恶意脚本。这种攻击方式通常发生在Web应用中,攻击者利用网站未能充分过滤或转义用户输入的数据,将恶意代码嵌入到...
DVWA关卡10:DOM Based Cross Site Scripting (XSS)(DOM型XSS
m0_54899775的博客
12-08 1226
DVWA关卡10:DOM Based Cross Site Scripting (XSS)(DOM型XSS
xss跨站脚本【反射型---Reflected Cross Site Scripting (XSS)】
最新发布
weixin_71169068的博客
03-29 719
跨网站脚本(Cross-site scriptingXSS) 又称为跨站脚本攻击,是一种经常出现在Web应用程序的安全漏洞攻击,也是代码注入的一种。XSS是由于Web应用程序对用户的输入过滤不足而产生的,攻击者利用网站漏洞把恶意的脚本代码注入到网页之中,当其他用户浏览这些网页时,就会执行其中的恶意代码,对受害者用户可能采取Cookie窃取、会话劫持、钓鱼欺骗等各种攻击。这类攻击通常包含了HTML以及用户端脚本语言。
Fortify漏洞之Cross-Site ScriptingXSS 跨站脚本攻击)
arkqyo2595的博客
05-07 1697
  书接上文,继续对Fortify漏洞进行总结,本篇主要针对XSS跨站脚步攻击漏洞进行总结,如下: 1、Cross-Site ScriptingXSS 跨站脚本攻击) 1.1、产生原因: 1. 数据通过一个不可信赖的数据源进入 Web 应用程序。对于 Reflected XSS(反射型),不可信赖的源通常为 Web 请求,只影响攻击到当前操作用户;而对于 Persisted(也称...
XSS跨站脚本攻击(Cross-site scripting
qq_49841288的博客
07-24 1410
通过网页开发时,对用户输入信息过滤不足,将恶意代码注入网页中。恶意代码通常是JavaScript,但也包括Java、VBScript、ActiveX、Flash或者普通的HTML。因特网的可用资源通过简单字符串来表示,这些字符串被称作URL(统一资源定位器)。DOM是一种与平台、语言无关的应用程序接口(API)它可以动态地访问程序和脚本,更新其内容、结构和www文档的风格(HTMl和XML文档是通过说明部分定义的)。文档可以进一步被处理,处理的结果可以加入到当前的页面。......
【常见Web应用安全问题】---1、Cross Site Scripting
weixin_34329187的博客
12-22 215
 Web应用程序的安全性问题依其存在的形势划分,种类繁多,这里不准备介绍所有的,只介绍常见的一些。  常见Web应用安全问题安全性问题的列表:   1、跨站脚本攻击(CSS or XSS, Cross Site Scripting)   2、SQL注入攻击(SQL injection)   3、远程命令执行(Code execution,个人觉得译成代码执行...
Cross-site Scripting (XSS)
zhigangsun的专栏
04-20 5663
Overview Cross-Site Scripting (XSS) attacks are a type of injection, in which malicious scripts are injected into otherwise benign and trusted web sites. XSS attacks occur when an attacker uses a web
cross-site scripting 漏洞前端如何解决_如何避开食堂管理系统的“坑”
weixin_36209848的博客
12-30 485
  随着互联网信息技术的发展,食堂管理系统逐渐被重视,食堂信息化管理成为食堂提高运营能力,提高食堂经营效益和管理水平必不可少的手段。如何选择信息技术提供方,以及如何了解其技术成熟程度,都是团餐企业在信息化过程中必须要注意的问题。  数据完整性问题  数据的完整性是指在交易过程中,系统无论是本地交易,还是云端交易,其数据都是完整的;无论是物理删除,还是逻辑删除,都能在最终结算的时候,查找到交易记录。...
Cross-Site Scripting: Persistent XSS 漏洞修复笔记
热门推荐
dazhong2012的专栏
03-14 1万+
最近,项目工程进行 代码安全扫描 的过程中产生了一个 XSS 相关的bug,在此记录解决办法,和大家分享。 一.问题描述 漏洞扫描过程中报下面缺陷信息,大致意思是说 由于页面在接收参数的过程中,没有进行参数的校验,可能存在 参数中存在可执行代码的漏洞。 Cross-Site Scripting: Persistent Critical Package: /WEB-INF/views/xx xx-w...
Cross site scripting公司项目被检测出项目存在XSS跨站脚本攻击漏洞
Crazy的博客
08-01 221
记个加班要做的事,,,,公司项目被检测出XSS攻击漏洞 点击了解什么是XSS攻击 解决思路:自定义个过滤器,过滤掉所有请求中的非法参数 代码记录:公司名用***代替了 web.xml配置这个过滤器写在靠前的位置 <filter> <filter-name>XssFilter</filter-name> <filter-class>com.***.utils.XssFilter</filter-class> </filter>
cross site scripting
03-16
跨站脚本攻击(Cross Site Scripting,简称 XSS)是一种常见的Web安全漏洞,攻击者通过在Web页面中注入恶意脚本,使得用户在浏览页面时受到攻击。攻击者可以利用这种漏洞窃取用户的敏感信息,如账号密码、银行卡号等...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值