Web 安全性測試之跨站腳本攻擊測試
隨著網際網路的不斷發展,人們對網路的使用越來越頻繁,通過網路進行購物、支付等其他業務操作。而一個潛在的問題是網路的安全性如何保證,一些黑客利用站點安全性的漏洞來竊取用戶的信息,使用戶的個人信息泄漏,所以站點的安全性變得很重要。
Web 系統的安全性測試包括以下內容:
(1)Web 漏洞掃描
(2)伺服器端信息測試
(3)文件和目錄測試
(4)認證測試
(5)會話管理測試
(6)許可權管理測試
(7)文件上傳下載測試
(8)信息泄漏測試
(9)輸入數據測試
(10)跨站腳本攻擊測試
(11)邏輯測試
(12)搜索引擎信息測試
(13)Web Service 測試
(14)其他測試
本章節主要給大家介紹第(10)點——跨站腳本攻擊測試
XSS 又叫CSS(Cross Site Script,跨站腳本攻擊),是指惡意攻擊者在Web 頁面里插入惡意HTML 代碼。當用戶瀏覽該頁時,嵌入其中的HTML 代碼會被執行,從而達到惡意攻擊的目的。
XSS 屬於被動式攻擊,因為其被動且不好利用,所以容易被忽略其危害性。
XSS 攻擊分成兩類:一類是來自內部的攻擊,另一類是來自外部的攻擊。內部攻擊是指利用程序自身的漏洞,構造跨站語句;外部攻擊是指自己構造XSS 跨站漏洞網頁或者尋找非目標機以外的有跨站漏洞的網頁。
測試包括兩方面的內容:GET 方式跨站腳本測試和POST 方式跨站腳本測試
(1)GET 方式跨站腳本測試
GET 方式跨站腳本測試主要是測試以GET 方式提交的請求頁面是否存在漏洞。如下面的頁面,
假設訪問的UTL 為http://127.0.0.1:81/testget.php。