教你如何快速发现XSS跨站攻击漏洞
什么是XSS跨站攻击?
跨站脚本攻击(Cross Site Scripting),为了不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意的Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。(以上内容来自百度百科)
其实简单理解,就是我们的程序,在参数传入时,没有对输入字符串中特殊字符或字符串做合理的检查和处理,如果参数传入的内容中,包含了恶意代码,那么我们的程序就会把这段恶意代码在浏览器中执行。那么,XSS跨站攻击会给我们带来哪些危害呢?下面的这些内容,或许你并不陌生:
1、钓鱼欺骗
2、网站挂马
3、身份盗用
4、盗取网站用户信息
5、垃圾信息发送
6、劫持用户Web行为
7、XSS蠕虫
在哪些地方需要进行XSS跨站攻击的测试验证?
可传参的URL中
可输入内容的表单
怎么快速判断是否有XSS跨站攻击注入点?
即在表单填写框中直接注入攻击脚本(一般都是JS脚本),如在表单中输入JS内容后,正常预期程序是不应该让脚本执行的,如果程序没有对输入内容做有效处理,则提交后程序会执行我们输入的JS代码。
XSS跨站攻击测试示例
下面测试步骤举例以可视化当前暂未被修复的一个XSS跨站攻击点为例,帮助大家理解如何发现XSS跨站攻击点。
1、登陆可视化运营后台:
athena-mf.maoniuchuxing.com 13000000000 111111
&