如何测试XSS漏洞

最新推荐文章于 2025-11-05 11:30:01 发布
原创 最新推荐文章于 2025-11-05 11:30:01 发布 · 1.4k 阅读 · 3 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#Web

如何测试XSS漏洞

2009年3月11日 由 铁花 留言 »

黑盒手动测试

  • 有输入框的页面测试

对于非富文本在输入框中输入特殊字符 <”tiehua ‘> 提交

在提交后的页面查看源代码根据关键字tiehua查找源代码中的tiehua前后的<”>’是否已经被转义成

&lt&quot&gt&apos 如果未被转义说明这个输入框存在xss漏洞的嫌疑(提交bug)。

对于富文本输入框输入<img onerror=”alert(123)” src=http://xxx.com>提交页面

如果页面有出现排版问题或者js错误说明这个输入框存在xss漏洞的嫌疑(提交bug)。

  • 页面链接参数的测试

链接带参数的如:

http://mall.taobao.com/?ad_id=&am_id=&cm_id=&pm_id=

该链接包含了4个参数,对于这种的测试方法和输入框测试方法一样只不过把参数当成你的输入框进行

提交。如:

http://mall.taobao.com/?ad_id=<”tiehua’>&am_id=&cm_id=&pm_id=

另:可能大家会说光这点不足以说服开发修改bug,很可惜本文旨在说明如何找到xss漏洞并不是说明

如何利用xss漏洞,感兴趣的看情况线下交流呵呵。

黑盒工具测试

推荐工具

  • Paros(免费)
  • Acunetix.Web.Vulnerability.Scanner (商业工具)

白盒代码扫描测试

在上一篇中我们讲到了xss漏洞产生的代码原因和解决方法如:

<span>$!productName</span>

此类的非富文本代码我们可以强制要求规范为:

<span> $!stringEscapeUtil.escapeHtml ($!productName)</span>

对于富文本的我们可以强制要求代码规范为通过过滤层过滤。

根据以上的两条规则,我们可以从白盒代码上去进行静态扫描代码是否按照规范编写来预防和筛选xss漏洞。

预告
下集将介绍如何使用paros.

转载务必注明出处 Taobao QA Team,原文地址: http://qa.taobao.com/?p=882
使用burpsuite进行自动化测试XSS漏洞的两种方法
Cwillchris的博客
07-08 2055
一、使用 burpsuite 进行自动化测试 XSS 漏洞我们使用之前搭建的DVWA靶机进行实验进入centos靶机,启动 apache 服务└─# systemctl start apache2进入kali拷贝 payload 字典到 root 目录下,字典可以使用 Kali 中自带的,也可以使用网上找的└─# cp /usr/share/wordlists/wfuzz/Injections/XSS.txt /root在火狐中访问: 192.168.98.66/DVWA-master/vulnerabil
使用BurpSuite测试XSS漏洞
weixin_57775457的博客
03-23 936
在Intruder的执行界面上,我们可以通过xss_bug来查看payload的检测情况,如果响应报文中存在漏洞标志,那么xss_bug列均会被打√显示出来。注:若phantomjs-2.1.1-macosx/bin目录没有在你的PATH环境变量中,可能需要使用完整路径来执行xss.js。
XSS漏洞测试工具
02-10
XSS是一种非常常见的漏洞类型,它的影响非常的广泛并且很容易的就能被检测到。 攻击者可以在未经验证的情况下,将不受信任的JavaScript片段插入到你的应用程序中,然后这个JavaScript将被访问目标站点的受害者执行
关于 XSS 漏洞测试
UserGuan的博客
10-18 1903
XSS(Cross-Site Scripting)跨站脚本攻击,是一种常见的网络安全漏洞,指攻击者将恶意脚本注入到网页中,然后这些脚本在用户的浏览器中执行。这种攻击通常发生在基于 Web 的应用程序中,如网站和 web 应用程序,当它们未能正确过滤、转义或验证用户输入时。XSS 攻击的主要目标是窃取用户的敏感信息,如:登录凭证、会话令牌和个人数据。或者执行恶意操作,如:冒充用户执行操作、改变页面内容或重定向用户到恶意网站。
xss攻击测试,零基础入门到精通,收藏这篇就够了
最新发布
wly55690的博客
11-05 940
跨站脚本攻击(XSS)是指攻击者将恶意脚本注入到网页中,并在其他用户的浏览器中执行,从而达到窃取 Cookie、控制用户会话、修改 DOM、传播蠕虫等目的。本质:前端页面对用户输入缺乏安全处理,导致恶意 JavaScript 被浏览器执行。XSS 并非仅靠工具即可“一扫而尽”。它是一种需要语境理解 + 注入技巧 + 渲染语义分析的测试艺术。我们不应仅依赖工具“扫一遍”,而是要以攻击者视角深入理解应用的数据流动逻辑与上下文环境变迁,构建覆盖面广、逻辑严密的测试策略。
Web安全:XSS漏洞测试(防止 黑客利用此漏洞.)
热门推荐
网络安全领域___专研者.
03-17 2万+
XSS漏洞的概括: XSS又叫CSS(Cross Site Script)跨站脚本攻击,指的是攻击者在Web页面,插入恶意JS代码,当用户浏览该页之时,嵌入其中JS代码就会被执行,从而达到攻击的目的.(包含:收集用户的Cookie,添加账号,修改密码,提高用户权限等等.)
使用burpsuite自动化测试XSS漏洞:提升Web应用安全
weixin_43822401的博客
06-05 1471
在数字化时代,Web应用的安全至关重要。跨站脚本攻击(XSS)是常见的Web安全威胁之一。burpsuite作为一款强大的渗透测试工具,可以帮助安全专家和开发人员自动化地发现和修复XSS漏洞。本文将详细介绍如何使用burpsuite进行XSS漏洞的自动化测试
如何测试XSS漏洞借鉴.pdf
12-29
这篇文档主要介绍了如何进行XSS漏洞的黑盒测试,即不考虑程序内部结构,仅从外部使用者的角度进行测试。 **黑盒手动测试** 1. **有输入框的页面测试**: - 对于非富文本输入框,测试人员应尝试输入特殊字符,例如...
渗透测试漏洞XSS漏洞
weixin_50651979的博客
04-07 1196
2、存储型XSS,持久性XSSS,存储型XSS是最危险的一种跨站脚本漏洞,当攻击者提交一段代码后,被服务端接收并存储,当攻击者或用户再次访问某个页面时,这段XSS代码被程序读出来响应给浏览器,造成XSS跨站攻击。1、反射型XSS 非持久性XSS(一次性),当用户访问一个带有XSS代码 的HTML请求时,服务端接收后处理,然后把带有XSS的数据发送到浏览器,浏览器解析这段带有XSS代码的数据后,造成XSS漏洞。:存储型XSS漏洞,由于其持久化特性,容易造成蠕虫病毒的传播,进一步扩大攻击范围。
XSS攻击检测
01-22
XSS攻击检测代码,删除bin生成的class,直接使用src加载.java 就好了,开发采用的myeclipse,使用其他工具的注意修改,
我是如何黑盒测试XSS漏洞的?
weixin_30947043的博客
11-20 476
在挖掘SRC中,很多人挖洞都是挖掘的XSS漏洞,随着Web安全的普及,人类越来越注重自身网站的安全。 来一篇简单的黑盒测试XSS漏洞的一点方法和个人的一些见解 一般测试XSS漏洞,一般是简单测试下,而不是直接深层次的绕过代码直接去碰,测试XSS常规的XSS测试语句是: "><img/src/onerror=alert(1)> 屡试不爽 先讲...
XSS漏洞检测手段
Kevin's Blog
05-05 9872
文章目录一、手工注入检测1.1 Cheat Sheet二、自动化工具检测2.1 BurpSuite之XSS Validator2.1.1 运行原理2.1.2 插件安装2.1.3 phantomjs安装2.1.4 下载xss.js2.1.5 配置XSS Validator2.1.6 配置Intruder模块2.1.7 XSS漏洞检测2.1.8 工具优缺点2.2 神器之XSSer2.2.1 工具介绍 ...
(xss漏洞讲解)xss漏洞检测和绕过
weixin_44893706的博客
12-03 601
javascript 测试↓。
XSS漏洞的检测与防御
我乐了的博客
01-30 2528
如果在官方修复前,那个 XSS 漏洞已经被恶意利用了,那即使已经通过输入检查方法修复了,被插入的恶意代码仍会存在,这可以认为是修复不彻底的表现。PhantomJS:已停止维护。DOM XSS 的扫描相比常规 XSS 要难一些,主要是针对 JS 代码的分析,如果只是简单的正则匹配,就很容易误报漏报。不同的语言有不同的特性,在源码审计时需要采取不同的检测点,但有一个共同的思路,那就是。有时我们也会反着来:先查看一些危险的输出函数,再回溯它的参数传递,判断是否有未经过滤的用户输入数据,若有就代表可能存在漏洞
XSS漏洞手工检测
zzkkoo8的博客
12-15 6882
xss漏洞手工检测xss漏洞手工检测 1基本检测 2绕过技巧 2017年12月14日 17:44:57 1、基本检测'"<>&空格 \\看有没有逃逸 常用语句 "/><script>alert(document.cookie)</script><!-- <script>alert(document.cookie)</script><!-- "onclick="alert(document.coo
Xss漏洞检测
continue my dream
09-04 3109
1. 实验目的: 通过检测网站是否存在Xss漏洞,了解Xss漏洞的原理及检测步骤,维护网站的安全。 2. 实验环境: 任意网络浏览器 3. 实验原理: (1) XSS又叫CSS (Cross Site Script) ,跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意攻击用户的特殊目的。XSS
测试xss
qq_45815609的博客
04-07 347
xss测试
WEB测试xss漏洞
01-06
### XSS 跨站脚本攻击概述 XSS(Cross-Site Scripting)是一种常见的Web应用程序安全漏洞,允许攻击者将恶意脚本注入到网页中。这些脚本会在受害者的浏览器上执行,从而窃取敏感数据或进行其他有害活动。 #### 基于DOM的XSS 基于DOM的XSS是指攻击者通过操控客户端JavaScript,使得恶意脚本被执行。这种类型的攻击不依赖于服务器端,而是通过修改浏览器中运行的JavaScript来实现[^1]。 #### 反射型XSS 反射型XSS也被称为非持久性跨站点脚本攻击。其特点是攻击者注入的数据会直接反映在HTTP响应中。一个典型的例子是一个带有XSS攻击向量的链接,每次攻击都需要用户的点击才能生效[^2]。 #### 存储型XSS 存储型XSS则是指攻击者提交的内容被永久存入目标系统的数据库或其他文件内,并且当受害者浏览含有该内容的页面时就会触发攻击。这类攻击的影响范围更广,因为一旦成功植入,所有访问受影响资源的人都可能成为潜在的目标[^3]。 --- ### Web 应用程序中的XSS 测试方法 为了有效检测并修复存在XSS漏洞,在开发周期的不同阶段都应该实施相应的测试策略: #### 自动化工具扫描 利用专门设计用于发现Web应用安全隐患的安全评估软件来进行初步筛查。例如OWASP ZAP、Burp Suite等都提供了强大的功能帮助识别各种形式的XSS缺陷。 #### 手工渗透测试 对于某些复杂场景下的逻辑错误所引发的隐蔽性较高的XSS问题,则需依靠经验丰富的安全专家采用手工方式深入挖掘。这通常涉及到模拟真实世界里的攻击行为模式以及尝试不同的输入组合以期找到突破口。 #### 单元/集成测试案例编写 开发者可以在编码过程中加入针对特定函数接口调用处可能出现的风险点编写的单元测试或者集成测试用例,确保新特性上线前已经充分考虑到了安全性方面的要求。 ```python def test_xss_protection(): # 创建一个包含特殊字符的字符串作为测试输入 payload = "<script>alert('XSS')</script>" # 将payload传递给待测的应用程序组件处理... result = app.process_input(payload) # 验证返回的结果不会导致任何HTML标签未转义的情况发生 assert '<' not in result and '>' not in result, "可能存在XSS风险" ``` --- ### 预防与缓解措施建议 采取有效的防御手段可以大大降低遭受XSS攻击的可能性: - **输出编码**:始终对来自不可信源的数据进行适当转换后再显示出来;比如使用`htmlspecialchars()` PHP内置函数把尖括号替换成对应的实体表示法。 - **CSP (Content Security Policy)** :定义严格的加载外部资源白名单机制,阻止非法来源引入任意JS代码片段。 - **HttpOnly Cookies** : 设置Cookie属性为HttpOnly状态,即使存在XSS也能防止JavaScript读取它们。 - **框架自带保护**:现代前端库如React.js默认会对模板插值部分做必要的过滤工作,减少程序员犯错几率的同时提高了整体安全性水平。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值