XssAPP开源，Xss跨站脚本攻击测试平台(JAVA开发) BY:WebSOS

XssAPP开源，Xss跨站脚本攻击测试平台(JAVA开发)

发布时间：2016-05-29 03:35编辑：admin 浏览（2435)类别:编程开发

• 
  XssAPP 一套针对Xss跨站脚本攻击的专业测试平台
  
  开源日期：2016-05-29
  
  开发者：WebSOS
  
  开发时间：2015年下半年
  
  开发语言：JAVA
  
  使用技术：Spring Hibernate 反射技术
  
  说明：本程序源码一切权益归WebSOS所有，他人不得随意修改与转卖，本程序仅做技术交流，切勿用于非法途径
  
  链接: http://pan.baidu.com/s/1kUWVkXp 密码: 885i 
  
  文档说明：
  
    XssAPP系统设计说明书
  （v1.0）
    

  文 档 信 息
  文档名称：	Xss平台系统需求设计说明书
  电子文档：	Xss平台系统需求设计文档 /Microsoft WORD 2000
  版本号：	1.0	密级：	保密
  文档状态：	□ 草    稿    ■ 正式发布    □ 正在修改
  编写人：	WebSOS	日期：	2016-1-29

  
  目 录
  1    总则... 5
  1.1  编写目的... 5
  1.2  读者对象... 5
  1.3 业务背景... 5
  1.4 平台简介... 5
  1.5 攻击分类... 5
  1.6 扩展类型... 5
  1.7 漏洞危害... 6
  1.7.1 三部曲... 6
  1.7.2 攻击事件... 6
  1.7.3 下一代... 6
  1.8 漏洞预防... 6
  1.9 XSS防御规则... 7
  1.9.1 No.1. 7
  1.9.2 No.2. 7
  1.9.3 No.3. 8
  1.9.4 No.4. 8
  1.9.5 No.5. 9
  1.9.6 No.6. 9
  1.10           业务需求... 9
  1.11           技术说明... 10
  1.12       术语与缩写... 10
  2    概述... 10
  2.1  设计目标... 10
  2.2  系统局部截图... 11
  3    数据表结构... 24
  1)        用户信息表 user. 24
  2)        模块表 module. 24
  3)        项目表 project 25
  4)        信封表 letter. 25
  5)        信封内容表 letter_paras. 26
  6)        系统设置表 setting. 26
  7)        邀请码表 invite. 27
  8)        后台管理表 admin. 27
  9)        后台角色表 role. 27
  10)      菜单表 menus. 28
  11)      邮箱表 email. 28
  12)      网站后缀表 suffix. 28
  13)      网站静态后缀表 suffix_static. 29
   

  1   总则

  1.1 编写目的

  主要基于以下目的编写此文档：
  1. 对整个系统项目设计阶段的任务成果形成文档。
  2. 对需求阶段的文档再次确认过程，对前一阶段需求没有做充分或错误的提出修改。
  3. 明确整个系统的功能框架和数据结构，为下一阶段的编码和测试提供参考依据。
  4. 明确编码规范和命名规范，统一程序界面。

  1.2 读者对象

  本文档的预期读者包括详细设计人员、开发人员、测试人员、项目经理及相关人员等。

  1.3   业务背景

  编辑
  网站中包含大量的动态内容以提高用户体验，比过去要复杂得多。所谓动态内容，就是根据用户环境和需要，Web应用程序能够输出相应的内容。动态站点会受到一种名为“跨站脚本攻击”（ Cross Site Scripting, 安全专家们通常将其缩写成 XSS,原本应当是css，但为了和层叠样式表（Cascading Style Sheet,CSS ）有所区分，故称XSS）的威胁，而静态站点则完全不受其影响。

  1.4   平台简介

  编辑
  用户在浏览网站、使用 即时通讯软件、甚至在阅读电子邮件时，通常会点击其中的链接。攻击者通过在链接中插入 恶意代码，就能够盗取用户信息。攻击者通常会用十六进制（或其他编码方式）将链接编码，以免用户怀疑它的合法性。网站在接收到包含恶意代码的请求之后会产成一个包含恶意代码的页面，而这个页面看起来就像是那个网站应当生成的合法页面一样。许多流行的留言本和论坛程序允许用户发表包含HTML和javascript的帖子。假设用户甲发表了一篇包含 恶意脚本的帖子，那么用户乙在浏览这篇帖子时，恶意脚本就会执行，盗取用户乙的session信息。有关攻击方法的详细情况将在下面阐述。

  1.5   攻击分类

  编辑
  人们经常将跨站脚本攻击(Cross Site Scripting)缩写为 CSS，但这会与 层叠样式表(Cascading Style Sheets, CSS)的缩写混淆。因此有人将跨站脚本攻击缩写为 XSS。如果你听到有人说 “我发现了一个XSS漏洞”，显然他是在说跨站脚本攻击。

  1.6   扩展类型

  编辑
  （1）持久型跨站：最直接的危害类型，跨站代码存储在 服务器（数据库）。（2）非持久型跨站：反射型跨站脚本漏洞，最普遍的类型。用户访问服务器-跨站链接-返回跨站代码。（3） DOM跨站（DOM XSS）:DOM(document object model文档对象模型)，客户端脚本处理逻辑导致的安全问题。