• 1. XSS 试讲部分WEB安全测试最佳实践xxx
  • 2. 学习如下内容:XSS 是什么XSS 测试方法XSS 的危害Cross Site ScriptingXSS 解决方案
  • 3. 什么是XSS?通过参数注入HTML、javascript脚本到 页面中执行
  • 4. XSS的攻击类型?非持久型(Non-persistent) 持久型(Persistent) DOM型(DOM-based) 参数(GET、POST、COOKIE)浏览器执行参数(GET、POST、COOKIE)数据库浏览器执行参数(GET、POST、COOKIE)数据库(有或无)浏览器Javascript执行
  • 5. XSS的危害?盗取(cookie)帐户 控制浏览器行为 worm 攻击 升级物联网安全(未来发现道路) 139 mail worm 浅谈,升级到手机安全 安焦大会:XSS黑掉查询机。 条形码XSS:http://www.woyigui.cn/2010/02/25/barcode-xss/
  • 6. XSS的测试方法—反射型?
  • 7. XSS的测试方法—持久型?生成Fuzzing(模糊测试)用例 传输至数据库 观察页面显示 演示持久型测试:Sogou mail xss
  • 8. XSS的测试方法—DOM型?输入来源: document.location window.referer document.url window.name 输出执行函数 document.write() document.location window.location .innerHTML $(*).html eval()
  • 9. XSS的检测工具?检测工具 A. Xss-rays https://chrome.google.com/webstore/detail/xss-rays/kkopfbcgaebdaklghbnfmjeeonmabidj?hl=en-GB B. Ratproxy https://code.google.com/p/ratproxy/
  • 10. XSS的扫描实现?Xss-rays 自定义扫描
  • 11. XSS的解决方案?输入过滤输出转义安全
  • 12. 还有什么?Question???