一、Web安全漏洞:
1、跨站脚本攻击XSS:Cross Site Scripting,为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS
恶意攻击者往Web页面里插入恶意script代码,当用户浏览该页面时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。在不同场景下,XSS有相应不同的表现形式,主要分为反射型、存储型、DOM型的跨站脚本攻击,所造成的映像主要是窃取用户的登录凭证(Cookies)、挂马攻击、页面访问挟持等
手工测试:
1.1、反射型XSS测试:(相当于get请求页面:url里面输入)对提交页面的各个参数依次进行SQL注入测试,判定是否存在注入
比如正常访问的地址是 http://www.ccc.com/xss.jsp?id=1&name=2,依次对2个参数进行XSS测试
1.1.1、提交 http://www.ccc.com/xss.jsp?id=1”><!–&name=2,根据返回页面是否弹出包含xxx字符串的窗口判断是否存在反射型XSS
1.1.2、提交 http://www.ccc.com/xss.jsp?id=1&name=
‘><!—
“ onerror=alert(/xxx/) t=”
“ onmousemove=alert(/xxx/) t=”
‘><img src=# onerror=alert(1)>
‘><iframe src=http://www.baidu.com><’