跨站脚本漏洞测试流程
Posted 安全界 的彭于晏
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了跨站脚本漏洞测试流程相关的知识,希望对你有一定的参考价值。
1.在目标站点上找到输入点,比如查询接口,留言板等;
2.输入一组’‘特殊字符+唯一识别字符’,点击提交后,查看返回的原码.是否有做对应的处理
3.通过搜索定位到唯一字符,结合唯一字符前后语法确认是否可以构造执行js的条件(构造闭合)
4.提交构造的脚本代码(以及各种绕过姿势),看是否可以成功执行,如果成功执行则说明存在XSS漏洞
TIPS:
1.一般查询接口容易出现反射型XSS,留言板容易出现存储型XSS;
2.由于后台可能存在过滤措施,构造的script可能会被过滤掉,而无法生效,或者环境限制了执行(浏览器);
3.通过变化不同的SCRIPT,尝试绕过后台过滤机制
以上是关于跨站脚本漏洞测试流程的主要内容,如果未能解决你的问题,请参考以下文章