关注51Testing
Web应用进行XSS漏洞测试
发表于： 11:05 &作者：seiitsu & 来源：51Testing软件测试网采编
推荐标签：
　　例子&SCRIPT language="javascript1.2"& var msg='&?= $welcome_msg?& '; // … &/SCRIPT&攻击XSS输入1Hello'; evil_script(); //将动态内容替换将 $welcome_msg 替换为恶意 XSS 输入:&SCRIPT language="javascript1.2"& var msg='Hello'; evil_script(); //'; // … &/SCRIPT&攻击XSS输入2Hello&/script&&script&evil_script();&/script&&script&将动态内容替换将$welcome_msg 替换为恶意 XSS 输入:&script& var msg = 'Hello&/script& &script&evil_script();&/script& &script&' // ... // do something with msg_text &/script&　　分析　　如上文所示，在 JavaScript 背景中使用动态内容需要非常谨慎。一般情况下，尽量避免或减少在 Javascript 的背景下使用动态内容，如果必须使用动态内容，在开发或代码审计时必须考虑这些动态内容可能的取值，是否会导致 XSS 攻击。　　建立PHP库函数校验输入　　Web 开发人员必须了解，仅仅在客户端使用 JavaScript 函数对非法输入进行检测过滤对于构建安全的 WEB 应用是不够的。如上文所述，攻击者可以轻易地借助工具绕过 JavaScript 校验甚至 SSL 加密输入恶意数据。在输出端对动态内容进行编码也只能起到一种双重保护的作用，更重要的应该在服务器端对输入进行校验。PHP 提供了strpos()、strstr()、preg_match()等函数可用于检测非法字符和字符串；preg_replace() 函数可用于替换非法字符串。OWASP PHP Filters 开源项目提供了一些 PHP 库函数用于过滤非法输入可作为参考。一些常见的检测和过滤包括：　　输入是否仅仅包含合法的字符；　　输入如果为数字，数字是否在指定的范围；　　输入字符串是否超过最大长度限制；　　输入是否符合特殊的格式要求，譬如email 地址、IP 地址；　　不同的输入框在逻辑上存在的耦合和限制的关系；　　除去输入首尾的空格；　　总结　　Web 应用的安全性是一个很重要、覆盖范围很广泛的主题。为了防止常见的 XSS 的攻击，Web 开发人员必须明白不能仅仅只在客户端使用 JavaScript 对输入进行检测、过滤；同时还应建立服务器端的输入校验、输出编码库函数；在服务器端检测、过滤输入；根据动态内容所处的背景将特殊字符进行编码后再传送给浏览器端显示。
搜索风云榜
51Testing官方微信
51Testing官方微博
测试知识全知道&/script&&script&alert(1)&/scr_dx2ztm76吧_百度贴吧
&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&签到排名：今日本吧第个签到，本吧因你更精彩，明天继续来努力！
本吧签到人数：0可签7级以上的吧50个
本月漏签0次！成为超级会员，赠送8张补签卡连续签到：天&&累计签到：天超级会员单次开通12个月以上，赠送连续签到卡3张
关注：96贴子：
&/script&&script&alert(1)&/scr
alert(1)aaaa
创维OLED-S9D
回复1楼:快速回复
alert(1)&/scr
sadfsafsafsaf
asdfasdfdsafdsafdsaf
回复4楼:adsfsdfsadfsadf
贴吧热议榜
使用签名档&&
保存至快速回贴&&国之画&&&& &&
版权所有 京ICP备号-2
迷上了代码！}