Web安全测试常见问题:
1.XSS(CrossSiteScript)跨站脚本攻击
XSS(CrossSiteScript)跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意用户的特殊目的。
信息系统安全测试方法:
在数据输入界面,添加记录输入:,添加成功如果弹出对话框,表明此处存在一个XSS漏洞。
或把url请求中参数改为,如果页面弹出对话框,表明此处存在一个XSS漏洞
修改建议:
过滤掉用户输入中的危险字符。对输入数据进行客户端和程序级的校验(如通过正则表达式等)。
Eg:对用户输入的地方和变量有没有做长度和对””,””,”;”,”’”等字符是否做过滤
2.CSRF与跨站脚本(XSS)
CSRF与跨站脚本(XSS),是指请求迫使某个登录的浏览器向易受攻击的Web应用发送一个请求,然后以受害者的名义,为入侵者的利益进行所选择的行动。
信息系统安全测试方法:
同个浏览器打开两个页面,一个页面权限失效后,另一个页面是否可操作成功
使用工具发送请求,在