在網(wǎng)頁中的Textbox或者其他能輸入數(shù)據(jù)的地方,輸入這些測試腳本, 看能不能彈出對話框,能彈出的話說明存在XSS漏洞
在URL中查看有那些變量通過URL把值傳給Web服務器, 把這些變量的值退換成我們的測試的腳本。 然后看我們的腳本是否能執(zhí)行
方法三: 自動化測試XSS漏洞
現(xiàn)在已經(jīng)有很多XSS掃描工具了。 實現(xiàn)XSS自動化測試非常簡單,只需要用HttpWebRequest類。 把包含xss 測試腳本。發(fā)送給Web服務器。 然后查看HttpWebResponse中,我們的XSS測試腳本是否已經(jīng)注入進去了。
HTML Encode 和URL Encode的區(qū)別
剛開始我老是把這兩個東西搞混淆, 其實這是兩個不同的東西。
HTML編碼前面已經(jīng)介紹過了,關于URL 編碼是為了符合url的規(guī)范。因為在標準的url規(guī)范中中文和很多的字符是不允許出現(xiàn)在url中的。
例如在baidu中搜索"測試漢字"。 URL會變成
http://www.baidu.com/s?wd=%B2%E2%CA%D4%BA%BA%D7%D6&rsv_bp=0&rsv_spt=3&inputT=7477
所謂URL編碼就是: 把所有非字母數(shù)字字符都將被替換成百分號(%)后跟兩位十六進制數(shù),空格則編碼為加號(+)
在C#中已經(jīng)提供了現(xiàn)成的方法,只要調(diào)用HttpUtility.UrlEncode("string <scritp>") 就可以了。 (需要引用System.Web程序集)
Fiddler中也提供了很方便的工具, 點擊Toolbar上的"TextWizard" 按鈕
瀏覽器中的XSS過濾器
為了防止發(fā)生XSS, 很多瀏覽器廠商都在瀏覽器中加入安全機制來過濾XSS。 例如IE8,IE9,F(xiàn)irefox, Chrome. 都有針對XSS的安全機制。 瀏覽器會阻止XSS。 例如下圖
如果需要做測試, 最好使用IE7。
ASP.NET中的XSS安全機制
ASP.NET中有防范XSS的機制,對提交的表單會自動檢查是否存在XSS,當用戶試圖輸入XSS代碼的時候,ASP.NET會拋出一個錯誤如下圖
很多程序員對安全沒有概念, 甚至不知道有XSS的存在。 ASP.NET在這一點上做到默認安全。 這樣的話就算是沒有安全意識的程序員也能寫出一個”較安全的網(wǎng)站“。
如果想禁止這個安全特性, 可以通過 <%@ Page validateRequest=“false" %>