跨站脚本攻击(XSS)可能存在的位置与实操演示
免责申明
本文仅是用于学习研究XSS攻击的原理,请勿用在非法途径上,若将其用于非法目的,所造成的一切后果由您自行承担,产生的一切风险和后果与笔者无关;本文开始前请认真详细学习《中华人民共和国网络安全法》【学法时习之丨网络安全在身边一图了解网络安全法_中央网络安全和信息化委员会办公室】及其所在国家地区相关法规内容 ;如您继续阅读该文章即表明您默认遵守该内容。
一、XSS介绍
1.1、XSS简介
跨站脚本攻击(XSS)_xss攻击脚本
https://coffeemilk.blog.csdn.net/article/details/142266454
1.2、XSS可能存在的位置
一般来说只要Web网站中涉及到的用户交互(如:输入输出、搜索、查询等按钮)的位置,都可能存在XSS漏洞【常见的XSS地方有:登录注册、提交留言评论、a标签连接地址等等】。
1.3、XSS漏洞检测
1.3.1、使用工具扫描XSS
常见的XSS漏洞扫描工具有:AWVS、AppScan、XSStrike、xray
1.3.2、手动测试XSS
手动测试XSS除了自己手写之外,还可以借助第三方浏览器插件如【Hackbar】或BurpSuite进行测试;由于人的精力是有限的,所以测试的时候需要精准操作(针对性的选择内容与特殊字符测试),这样可以快速测试出是否存在XSS漏洞;手动测试XSS漏洞的方法有: