【精选内容】安全测试之xss漏洞简介和分类(建议收藏)

于 2023-03-08 14:40:39 发布
阅读量446 收藏 1
点赞数
分类专栏: 软件测试 自动化测试 技术分享 文章标签: xss 自动化测试 测试工程师 职场和发展 安全测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jiangjunsss/article/details/129403098
版权
技术分享 同时被 3 个专栏收录
1780 篇文章 68 订阅
订阅专栏
自动化测试
1531 篇文章 61 订阅
订阅专栏
软件测试
1444 篇文章 54 订阅
订阅专栏

1.什么是xss漏洞

XSS(Cross Site Scripting)跨站脚本攻击,它与层叠样式表CSS(Cascading Style
Sheets)的缩写混淆。因此,将跨站脚本攻击缩写为XSS。

2.xss漏洞的危害

XSS攻击,通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括Java、VBScript、ActiveX、
Flash或者甚至是普通的HTML。攻击成功后,攻击者可能得到包括但不限于更高的权限(如执行一些操作)、私密网页内容、会话和cookie等各种内容。

例如:
(1)窃取管理员帐号或Cookie。入侵者可以冒充管理员的身份登录后台,使得入侵者具有恶意操纵后台数据的能力,包括读取、更改、添加、删除一些信息。
(2)窃取用户的个人信息或者登录帐号,对网站的用户安全产生巨大的威胁。例如冒充用户身份进行各种操作。
(3)网站挂马。先将恶意攻击代码嵌入到Web应用程序之中。当用户浏览该挂马页面时,用户的计算机会被植入木马。
(4)发送广告或者垃圾信息。攻击者可以利用XSS漏洞植入广告,或者发送垃圾信息,严重影响到用户的正常使用。

3.xss漏洞的分类

反射型(又称非持续性)
存储型(又称持续性)
DOM型XSS

3.1反射型XSS

反射型XSS,也称为非持久性XSS,是最常见的一种XSS。

XSS代码常常出现在URL请求中,当用户访问带有XSS代码的URL请求时,服务器端接收请求并处理,然后将带有XSS代码的数据返回给浏览器,浏览器解析该段带有XSS代码的数据并执行,整个过程就像一次反射,故称为反射型XSS。

该类攻击的主要特点是它的及时性和一次性,即用户提交请求后,响应信息会立即反馈给用户。该类攻击常发生在搜索引擎、错误提示页面等对用户的输入做出直接反应的场景中。

3.2存储型XSS

存储型XSS,也称为持久性XSS。

在存储型XSS中,XSS代码被存储到服务器端,因此允许用户存储数据到服务器端的Web应用程序可能存在该类型XSS漏洞。攻击者提交一段XSS代码后,服务器接收并存储,当其他用户访问包含该XSS代码的页面时,XSS代码被浏览器解析并执行。

存储型XSS攻击的特点之一是提交的恶意内容会被永久存储,因而一个单独的恶意代码就会使多个用户受害,故被称为持久性XSS,它也是跨站脚本攻击中危害最的一类。二是被存储的用户提交的恶意内容不一定被页面使用,因此存在危险的响应信息不一定被立即返回,也许在访问那些在时间上和空间上没有直接关联的页面时才会引发攻击,因此存在不确定性和更好的隐蔽性。

这类攻击的一个典型场景是留言板、博客和论坛等,当恶意用户在某论坛页面发布含有恶意的Javascript代码的留言时,论坛会将该用户的留言内容保存在数据库或文件中并作为页面内容的一部分显示出来。当其他用户查看该恶意用户的留言时,恶意用户提交的恶意代码就会在用户浏览器中解析并执行。

3.3DOM型XSS

DOM (Document Objet Model)指文档对象模型。

DOM常用来表示在HTML和XML中的对象。DOM可以允许程序动态的访问和更新文档的内容、结构等。客户端JavaScript可以访问浏览器的文档对象模型。也就是说,通过JavaScript代码控制DOM节点就可以不经过服务器端的参与重构HTML页面。

该类攻击是反射型XSS的变种。它通常是由于客户端接收到的脚本代码存在逻辑错误或者使用不当导致的。比如Javascript代码不正确地使用各种DOM方法(如document.write)和Javascript内部函数(如eval函数),动态拼接HTML代码和脚本代码就容易引发DOM型的跨站脚本攻击。

因此,DOM型XSS与前面两种XSS的区别就在于DOM型XSS攻击的代码不需要与服务器端进行交互,DOM型XSS的触发基于浏

今天的分享就到此结束了, 如果文章对你有帮助,记得点赞,收藏,加关注。会不定期分享一些干货哦......

最后感谢每一个认真阅读我文章的人,看着粉丝一路的上涨和关注,礼尚往来总是要有的,虽然不是什么很值钱的东西,如果你用得到的话可以直接拿走:

下面是配套资料,对于做【软件测试】的朋友来说应该是最全面最完整的备战仓库,这个仓库也陪伴我走过了最艰难的路程,希望也能帮助到你! 

可以在下方我的公众号免费领取一份216页软件测试工程师面试宝典文档资料。以及相对应的视频学习教程免费分享!,其中包括了有基础知识、Linux必备、Shell、互联网程序原理、Mysql数据库、抓包工具专题、接口测试工具、测试进阶-Python编程、Web自动化测试、APP自动化测试、接口自动化测试、测试高级持续集成、测试架构开发测试框架、性能测试、安全测试等。

小码哥说测试
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
博客
2022年简历石沉大海,别投了,软件测试岗位饱和了....
07-21 1万+
各大互联网公司的接连裁员,政策限制的行业接连消失,让今年的求职雪上加霜,想躺平却没有资本,还有人说软件测试岗位饱和了,对此很多求职者深信不疑,因为投出去的简历回复的越来越少了。另一面企业招人真的变得容易了吗?有企业HR吐槽,简历确实比以前多了好几倍,其实是变相的增加了招聘难度,以前是从10份中找一个合适的,现在是从100份中找一个合适的,合适的依然那么少!...
博客
常见自动化测试问题!
07-22 73
在自动化测试领域,咨询最多的问题通常围绕以下几个方面,这些问题涵盖了自动化测试的基本概念、实践挑战、工具使用以及测试策略等多个方面。芸汐今天给大家整理一下常见自动化测试问题:
博客
基于关键字驱动设计Web UI自动化测试框架!
07-22 226
在自动化测试领域,关键字驱动测试(Keyword-Driven Testing, KDT)是一种高效且灵活的方法,它通过抽象测试用例中的操作为关键字,实现了测试用例与测试代码的分离,从而提高了测试脚本的可维护性和可扩展性。本文将详细介绍如何设计并实现一个基于关键字驱动的 Web UI 自动化测试框架,包括配置文件读取、Excel 测试用例管理、关键字驱动类实现以及测试执行逻辑,旨在提供一个可发布的完整解决方案。
博客
在 CI/CD Pipeline 中实施持续测试的最佳实践!
07-20 571
随着软件开发周期的不断加快,持续集成(CI)和持续交付/部署(CD)已经成为现代软件开发的重要组成部分。在这一过程中,持续测试的实施对于确保代码质量、提高发布效率至关重要。本文将详细介绍在CI/CD流水线中实施持续测试的最佳实践,并提供具体的方案和实战演练。
博客
自动化测试入门 —— 自动化测试概论!
07-19 887
整篇论述总的来讲会很长,从自动化的思维、模型、工具,到各层次的自动化测试技术、测试框架、测试平台,包括面向未来的自动化技术都将涉及,因此打算拆成几个部分去写。此外,由于涉及的范围比较广泛,部分内容还是有些深度的,我尽量通过完整描述上下文,以便大家能够理解,如果有不清晰或错误(知识总是有限的)的地方,也请大家指正。
博客
测试必备技能:如何才能正确解读并发数?
07-19 514
从事测试行业的朋友,或多或少都知道并发数的概念。在计算机领域里,并发数是指同时访问服务器站点的连接数。在实际工作中,经常发现很多人对并发数有误解。比如领导说我们系统有10w活跃用户,所以系统必须要支持10w并发;比如压测报告里写某个接口支持50并发,客户就会反问难道系统只支持50用户同时访问?性能是不是太差了!
博客
自动化测试中如何应对网页弹窗的挑战!
07-18 809
在自动化测试中,网页弹窗的出现常常成为测试流程中的一个难点。无论是警告框、确认框、提示框,还是更复杂的模态对话框,都可能中断测试脚本的正常执行,导致测试结果的不确定性。本文将探讨几种有效的方法来应对网页弹窗的挑战,以保持自动化测试的稳定性和准确性。
博客
测试工作中常听到的名词解释 : )
07-18 958
很多名称其实看字面意思都挺抽象的,有时看群里的测试大佬在不停蹦这类术语,感觉很高大上,但其实很多你应该是知道的,只不过没想到别人是这样叫它的。又或者你的主编程语言不是 Java,所以看不懂他们在讲啥,因为大部分是 Java 后端的知识点或者是运维的知识 (这帮卷王)。
博客
学会这个统计方法,让你的接口自动化测试更有效!
07-18 480
接口自动化测试是现代软件开发中不可或缺的一环,它能够帮助开发团队自动化执行测试用例,以快速而准确地发现并修复软件缺陷。而覆盖率统计则是在测试执行完成后,帮助测试团队了解哪些代码路径被覆盖了,哪些未被覆盖的技术手段,下面我将介绍一下接口自动化测试覆盖率的统计方法。
博客
如何从0开始搭建公司自动化测试框架?
07-17 607
搭建的自动化测试框架要包括API测试,UI测试,APP测试三类。以上三类其实可以简化为两类,那就是:1)接口自动化测试框架搭建、2)UI自动化测试框架搭建。没问题,安排,且是手把手教你如何搭建以上两类自动化测试框架。回到这篇主题,刷到这个问题的测试人员,可能有一部分还是从事"手工测试"的,或是一些是自学测试刚入门。为了让这类读者也能有获得感,所以我将问题拆分下,分为下面4个部分:
博客
Selenium被检测为爬虫,怎么屏蔽和绕过!
07-17 407
01、Selenium 操作被屏蔽、使用selenium自动化网页时,有一定的概率会被目标网站识别,一旦被检测到,目标网站会拦截该客户端做出的网页操作。比如淘宝和大众点评的登录页,当手工打开浏览器,输入用户名和密码时,是能正常进入首页的,但是如果是通过selenium打开, 会直接提示验证失败,点击框体重试。
博客
系统稳定性和容量规划测试!
07-16 414
系统稳定性和容量规划测试是软件测试中非常重要的两个环节,它们分别关注于系统的长期稳定运行能力和系统资源的合理配置。以下是对这两个测试的详细解释:
博客
性能测试:性能测试报告!
07-16 368
性能测试报告是性能测试的产出物之一,它是对系统性能测试结果和数据的总结和分析,记录了系统在不同负载和场景下的性能表现和性能问题。性能测试报告提供了有关系统性能的详细信息,供项目团队、开发人员和其他相关利益相关者参考。
博客
性能测试:性能测试计划!
07-15 545
性能测试计划是在进行软件或系统的性能测试之前制定的详细计划和指导文件。它描述了所需性能测试的目标、范围、测试环境、资源需求、测试策略、测试用例、时间表等重要信息。
博客
基于 jenkins 部署接口自动化测试项目!
07-15 894
在现代软件开发过程中,自动化测试是保证代码质量的关键环节。通过自动化测试,可以快速发现和修复代码中的问题,从而提高开发效率和产品质量。而 Jenkins 作为一款开源的持续集成工具,可以帮助我们实现自动化测试的自动化部署。本文将详细介绍如何基于 Jenkins 部署接口自动化测试项目。
博客
接口测试返回参数的自动化对比!
07-13 879
在现代软件开发过程中,接口测试是验证系统功能正确性和稳定性的核心环节。接口返回参数的对比不仅是确保接口功能实现的手段,也是测试过程中常见且重要的任务。为了提高对比的效率和准确性,我们可以通过自动化手段实现这一过程。本文将介绍接口测试返回参数自动化对比的原理,展示如何使用 Python 和 MySQL 实现对比功能,并提供最佳实践的建议,帮助读者在实际项目中应用这些技术。
博客
RabbitMQ + JMeter组合,优化你的中间件处理方式!
07-13 436
RabbitMQ是实现了高级消息队列协议(AMQP)的开源消息中间件,它是基于Erlang语言编写的,并发能力强,性能好,是目前主流的消息队列中间件之一。
博客
接口测试框架基于模板自动生成测试用例!
07-11 618
在接口自动化测试中,生成高质量、易维护的测试用例是一个重要挑战。基于模板自动生成测试用例,可以有效减少手工编写测试用例的工作量,提高测试的效率和准确性。
博客
在postman设置请求里带动态token,看看这两种方法!
07-11 512
在使用postman调试接口时,遇到一些需要在请求里加上token的接口,若token出现变化,需要手动修改接口的token值,带来重复的工作量,翻看postman使用手册后,我发现了两种方法可以解决这个问题。
博客
面试官问我:如何在命令行跑Postman?我懵了!
07-10 336
在接口自动化过程中,每次都打开postman工具来手动运行脚本显得不智能,所以可以通过命令在无UI或者其他持续集成的平台上执行脚本和数据。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值