缺陷标题 webscantest网站的search域存在XSS攻击风险。
测试平台与浏览器 Windows 7+Firefox浏览器。
测试步骤
(1)打开webscantest网站http://www.webscantest.com。
(2)单击页面右下方的Browser Cache Tests链接。
(3)在search域中输入 cript alert("徐晓玲") /script 。
(4)单击“提交”按钮。
(5)观察页面元素。
期望结果 不响应脚本信息。
实际结果 浏览器响应脚本信息,弹出XSS攻击成功对话框,显示“徐晓玲”,如图1-22所示。
图1-22 XSS攻击成功对话框
测试工程师常用的XSS攻击语句及变种如下(许多场合都能攻击)。