安全测试:xss注入方法

Posted

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了安全测试:xss注入方法相关的知识,希望对你有一定的参考价值。

新学了两招,怕以后忘记,记录一下,(*^__^*) 嘻嘻……

xss注入:我的理解是,向表单中填写js或html等前端代码,来测试网站是否做了安全验证

原理:数据在记录到数据库中和在读取展示在前端页面时,如果没有做验证操作,则浏览器会将这些数据视为前端语言来执行过后展示在页面

1.通过js代码注入
向网站文本框中填写js脚本,如<script>alert("aa")</script>,那么在前端查询时,会弹出这个aa提示,
如果在alert("aa");为加一层死循环,那么查询此数据时,会死循环弹出"aa",导致页面无法再使用
2.通过<img>标签注入
向网站文本框中填写<img>标签:<img src="图片地址" />,那么在前端查询时,会展示这个图片文件
3.通过<iframe>标签注入
向网站添加信息文本中填写<iframe>标签:<iframe src="链接地址" ></iframe>,那么在前端查询时,会展示这个链接地址的小网页在网站中
 
 

以上是关于安全测试:xss注入方法的主要内容,如果未能解决你的问题,请参考以下文章

安全测试基础知识

渗透测试之XSS漏洞:记一次模拟注入攻击

安全测试 web安全测试 常规安全漏洞 可能存在SQL和JS注入漏洞场景分析。为什么自己没有找到漏洞,哪么可能存在漏洞场景是?SQL注入漏洞修复 JS注入漏洞修复 漏洞存在场景分析和修复示例(代码片段

安全技能学习笔记——反射型 XSS SQL 注入 (非盲注)

XSS攻击

安全安全测试