xss注入方法及验证方法

注:本文描述的是一般情况的xss注入方法及验证方法,并无覆盖所有xss情况,

师宗网站制作公司哪家好,找创新互联建站!从网页设计、网站建设、微信开发、APP开发、响应式网站建设等网站项目制作,到程序开发,运营维护。创新互联建站成立于2013年到现在10年的时间,我们拥有了丰富的建站经验和运维经验,来保证我们的工作的顺利进行。专注于网站建设就选创新互联建站

 

步骤1:在任一输入框中输入以下注入字符

>"'>

>"'>

1234<%00script>alert("123456")

&{alert(123456)}

>%22%27>

[rm]">[/rm]

\u003cimg src=1 onerror=alert(/xss/)\u003e

\x20\x27onclick\x3dalert\x281\x29\x3b\x2f\x2f\x27

步骤2:提交成功后,在读取参数的页面查看页面源码,搜索刚输入注入

即:在【A页面】提交的,要在能查看A页面提交的内容的【B页面】搜索源码才有效

如:在【A页面】输入框输入  >"'>,提交成功后,在【B页面】搜索“123456”

步骤3:查看页面源码

 

情况1:看到页面源码为

有xss问题

xss注入方法及验证方法

解析:页面并没将字符“<” 转义,浏览器会执行此代码,此类属于xss漏洞 。


情况2:看到源码为 

xss注入方法及验证方法无xss问题

 

 

 

解析:页面已将输入的字符“<”转义成“";”,此类没有xss漏洞。

 

情况3:页面错位

 

xss注入方法及验证方法有xss问题



 

 

 

解析:页面并没将字符“<” 转义,浏览器会执行此代码,此类属于xss漏洞 。

 

情况4:页面有弹出框提示

 

xss注入方法及验证方法有xss问题


 

 

 

 

 

 

 

解析:页面并没将字符“<” 转义,浏览器会执行此代码,此类属于xss漏洞 。

 

 

可以认为,所有没有转义字符“<”的都属于存在xss注入漏洞。

 

ps.页面源码,并非审阅元素,两者是有区别的

 


网站标题:xss注入方法及验证方法
分享URL:http://scyanting.com/article/ghccio.html