1.介绍
这篇文章的主要目的是给专业安全测试人员提供一份跨站脚本漏洞检测指南。
文章的初始内容是由 RSnake 提供给 OWASP,内容基于他的 XSS 备忘录:
http://ha.ckers.org/xss.html。目前这个网页已经重定向到 OWASP 网站,将由
OWASP 维护和完善它。OWASP 的第一个防御备忘录项目:XSS (Cross Site
Scripting)Prevention Cheat Sheet 灵感来源于 RSnake 的 XSS Cheat Sheet,所以我
们对他给予我们的启发表示感谢。我们想要去创建短小简单的参考给开发者以
便帮助他们预防 XSS 漏洞,而不是简单的告诉他们需要使用复杂的方法构建应
用来预防各种千奇百怪的攻击,这也是 OWASP 备忘录系列诞生的原因。
2.测试
这份备忘录是为那些已经理解 XSS 攻击,但是想要了解关于绕过过滤器方法之
间细微差别的人准备的。
请注意大部分的跨站脚本攻击向量已经在其代码下方给出的浏览器列表中进行
测试。
2.1. XSS 定位器
在大多数存在漏洞且不需要特定 XSS 攻击代码的地方插入下列代码会弹出包含
“XSS”字样的对话框。使用 URL 编码器来对整个代码进行编码。小技巧:如果
你时间很紧想要快速检查页面,通常只要插入“<任意文本>”标签,然后观察页
面输出是否明显改变了就可以判断是否存在漏洞:
! !
!
2.2. XSS 定位器(短)
如果你没有足够的空间并且知道页面上没有存在漏洞的 JavaScript,这个字符串
是一个不错的简洁 XSS 注入检查。注入后查看页面源代码并且寻找是否存在
<XSS 或<XSS 字样来确认是否存在漏洞