好消息!咨询,咨询
1、小强性能测试班5-27号开课,今年只开一次,错过就等明年!
2、小强自动化测试开发9月班招生中,6月底前报名优惠
所有学员享受免费、不限次数、无限重学的权利直到学会为止,拒绝限制次数、缴纳重学费的恶心规矩。课程大纲与介绍点击文末
常见问题:
1.XSS(CrossSiteScript)跨站脚本攻击
XSS(CrossSiteScript)跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达
到恶意用户的特殊目的。
测试方法:
在数据输入界面,添加记录输入:
,添加成功如果弹出对话框,表明此处存在一个XSS漏洞。
或把url请求中参数改为
,如果页面弹出对话框,表明此处存在一个XSS漏洞
修改建议:
过滤掉用户输入中的危险字符。对输入数据进行客户端和程序级的校验(如通过正则表达式等)。
Eg:对用户输入的地方和变量有没有做长度和对””,””,”;”,”’”等字符是否做过滤
2.CSRF与跨站脚本(XSS)
CSRF与跨站脚本(XSS),是指请求迫使某个登录的浏览器向易受攻击的Web应用发送一个请求,然后以受害者的名义,为入侵者的利益进行所选择的行动。
测试方法:
同个浏览器打开两个页面,一个页面权限失效后,另一个页面是否可操作成功
使用工具发送请求,在