Web 安全性測試之跨站腳本攻擊測試

隨著網際網路的不斷發展，人們對網路的使用越來越頻繁，通過網路進行購物、支付等其他業務操作。而一個潛在的問題是網路的安全性如何保證，一些黑客利用站點安全性的漏洞來竊取用戶的信息，使用戶的個人信息泄漏，所以站點的安全性變得很重要。

Web 系統的安全性測試包括以下內容：

(1)Web 漏洞掃描

(2)伺服器端信息測試

(3)文件和目錄測試

(4)認證測試

(5)會話管理測試

(6)許可權管理測試

(7)文件上傳下載測試

(8)信息泄漏測試

(9)輸入數據測試

(10)跨站腳本攻擊測試

(11)邏輯測試

(12)搜索引擎信息測試

(13)Web Service 測試

(14)其他測試

本章節主要給大家介紹第(10)點——跨站腳本攻擊測試

XSS 又叫CSS(Cross Site Script，跨站腳本攻擊)，是指惡意攻擊者在Web 頁面里插入惡意HTML 代碼。當用戶瀏覽該頁時，嵌入其中的HTML 代碼會被執行，從而達到惡意攻擊的目的。

XSS 屬於被動式攻擊，因為其被動且不好利用，所以容易被忽略其危害性。

XSS 攻擊分成兩類：一類是來自內部的攻擊，另一類是來自外部的攻擊。內部攻擊是指利用程序自身的漏洞，構造跨站語句;外部攻擊是指自己構造XSS 跨站漏洞網頁或者尋找非目標機以外的有跨站漏洞的網頁。

測試包括兩方面的內容：GET 方式跨站腳本測試和POST 方式跨站腳本測試

(1)GET 方式跨站腳本測試

GET 方式跨站腳本測試主要是測試以GET 方式提交的請求頁面是否存在漏洞。如下面的頁面，

假設訪問的UTL 為http://127.0.0.1:81/testget.php。

有什麼好的軟體測試的書能推薦嗎？