还剩1页未读,继续阅读
文本内容:
Web安全测试之XSS脚本安全电脑资料在网页中的Textbox或者其他能输入数据的地方,输入这些测试脚本,看能不能弹出对话框,能弹出的话说明存在XSS漏洞在URL中查看有那些变量通过URL把值传给Web服务器,把这些变量的值退换成我们的测试的脚本,方法三:自动化测试XSS漏洞现在已经有很多XSS扫描工具了实现XSS自动化测试非常简单,只需要用HttpWebRequest类把包含xss测试脚本发送给Web服务器然后查看HttpWebResponse中,我们的XSS测试脚本是否已经注入进去了HTMLEncode和URLEncode的区别刚开始我老是把这两个东西搞混淆其实这是两个不同的东西HTML编码前面已经介绍过了,关于URL编码是为了符合url的规范因为在标准的url规范中中文和很多的字符是不允许出现在url中的例如在baidu中搜索测试汉字URL会变成.baidu./swd=%B2%E2%CA%D4%BA%BA%D7%D6rsv_bp=0rsv_spt=3inputT=7477所谓URL编码就是把所有非字母数字字符都将被替换成百分号(%)后跟两位十六进制数,空格则编码为加号(+)在C#中已经提供了现成的方法,只要调用HttpUtility.UrlEncodestring就可以了,Fiddler中也提供了很方便的工具点击Toolbar上的TextWizard按钮浏览器中的XSS过滤器为了防止发生XSS,很多浏览器厂商都在浏览器中加入安全机制来过滤XSS例如IE8,IE9,FirefoxChrome.都有针对XSS的安全机制浏览器会阻止XSS例如下图如果需要做测试,最好使用IE7ASP.NET中有防范XSS的机制,对提交的表单会自动检查是否存在XSS,当用户试图输入XSS代码的时候,ASP.NET会抛出一个错误如下图很多程序员对安全没有概念,甚至不知道有XSS的存在ASP.NET在这一点上做到默认安全这样的话就算是没有安全意识的程序员也能写出一个”较安全的网站“如果想禁止这个安全特性,可以通过模板内容仅供参考。