购买
下载掌阅APP,畅读海量书库
立即打开
畅读海量书库
扫码下载掌阅APP

1.11 实验#11:webscantest网站有XSS攻击风险

缺陷标题 webscantest网站的search域存在XSS攻击风险。

测试平台与浏览器 Windows 7+Firefox浏览器。

测试步骤

(1)打开webscantest网站http://www.webscantest.com。

(2)单击页面右下方的Browser Cache Tests链接。

(3)在search域中输入 cript alert("徐晓玲") /script

(4)单击“提交”按钮。

(5)观察页面元素。

期望结果 不响应脚本信息。

实际结果 浏览器响应脚本信息,弹出XSS攻击成功对话框,显示“徐晓玲”,如图1-22所示。

图1-22 XSS攻击成功对话框

专家点评

测试工程师常用的XSS攻击语句及变种如下(许多场合都能攻击)。 AWS7MQJlZ9K94SHf7sQtzNlVy5n/X359Ft1UCAIyEjxUdsvhDJ2lFqLBdy3/khOL

点击中间区域
呼出菜单
上一章
目录
下一章
×