发布时间:2022-12-02 12:00
xss攻击是指利用网页的漏洞注入恶意的指令代码到网页,使得用户加载并执行攻击者恶意制造的网页程序,XSS攻击可以窃取cookie从而获得用户的账号和个人信息,网站挂马,有限的键盘信息,发送广告和垃圾短息。
XSS漏洞分为三种,存储型,反射型和DOM型。
检测方法:
1.通过扫描工具appscan或者burpsuite工具扫描,查看与验证扫描结果中的XSS漏洞
2.反射型XSS,在请求的url的参数后面拼接XSS脚本,看是否能正常执行
3.存储型XSS,在保存数据的时候输入XSS脚本,检查数据是否能正常保存,测试时注意脚本的变种,如编码和大小写混编
以上如果能正常执行则表示有XSS漏洞
解决方案:
1.输入过滤检查,过滤用户提交的 数据(转义,全角替换半角或直接拦截不通过),过滤脚本字符,如