+ 首页>>技能>>快速科普>>内容

技能XSS、CSRF漏洞及如何测试介绍152次围观

关注互联网安全,关注渗透测试。
本文将会详细介绍XSSCSRF等常见互联网安全漏洞,并简单介绍如何展开此类安全性测试。

XSS漏洞介绍

XSS又叫CSS (Cross Site Script) ,跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意攻击用户的特殊目的。

XSS攻击的危害包括

  1、盗取各类用户帐号,如机器登录帐号、用户网银帐号、各类管理员帐号
  2、控制企业数据,包括读取、篡改、添加、删除企业敏感数据的能力
  3、盗窃企业重要的具有商业价值的资料
  4、非法转账
  5、强制发送电子邮件
  6、网站挂马
  7、控制受害者机器向其它网站发起攻击

大致分:持久性和非持久型

按照攻击利用手法分

反射型XSS漏洞
保存型XSS漏洞
基于DOM的XSS漏洞

非持久性XSS(Reflected cross-site scripting),是我们通常所说的反射型XSS,也是最常用,使用最广的一种方式。它通过给别人发送带有恶意脚本代码参数的URL,当URL地址被打开时,特有的恶意代码参数被HTML解析、执行。它的特点是非持久化,必须用户点击带有特定参数的链接才能引起。

如何判断

示例1:
https://wahh-app.com/error.php?message=Sorry%2c+an+erorror+occured
结果:用户提交的输入会插入到服务器响应的HTML代码中,页面直接打印message消息
Sorry, an error iccured
示例2:
https://wahh-app.com/error.php?message=h3>
XSS、CSRF漏洞及如何测试介绍

如何测试XSS漏洞

黑盒手动测试
1、有输入框的页面测试
对于非富文本在输入框中输入特殊字符提交
在提交后的页面查看源代码根据关键字tiehua查找源代码中的tiehua前后的<>是否已经被转义
如果未被转义说明这个输入框存在xss漏洞的嫌疑(提交bug)。
对于富文本输入框输入提交页面
如果页面有出现排版问题或者js错误说明这个输入框存在xss漏洞的嫌疑(提交bug)。
2、页面链接参数的测试
链接带参数的如:
http://mall.taobao.com/?ad_id=&am_id=&cm_id=&pm_id=
该链接包含了4个参数,对于这种的测试方法和输入框测试方法一样只不过把参数当成你的输入框进行提交。如:
http://mall.taobao.com/?ad_id=<”tiehua’>&am_id=&cm_id=&pm_id=

测试XSS漏洞工具

黑盒工具测试
Paros(免费)
Acunetix.Web.Vulnerability.Scanner (商业工具)

CSRF漏洞介绍

CSRF(Cross-site request forgery跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。
CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账……造成的问 题包括:个人隐私泄露以及财产安全。

CSRF攻击原理

XSS、CSRF漏洞及如何测试介绍

如何测试CSRF

前提:知道受限制的(认证的)区域的URL。
构造一个欺骗性的的链接,该链接指向受测试URL
构造一个HTML页面,让它包含引用url u(规定全部相关参数;使用GET方式的时候很简单,如果使用的是POST请求,则需要诉诸于一些JavaScript代码)的HTTP请求;
步骤:
1,确保合法的用户已经登录该应用程序;
2,点击欺骗性的链接
观察结果,如检测Web服务器是否执行了该请求。该链接指向受测试的URL

+ 猜你喜欢...

===== 关于 DiggerPlus =====
DiggerPlus是国内新锐测试人垂直内容博客,专注于挖掘测试工具,普及测试技术,专注于测试人能力提升,博客上线后就受到广大测试人的热烈追捧;此外,DiggerPlus深度整合评测资源,揭秘科技数据和真相,让读者更懂科技,更好地把玩科技。 我们始终保持"独立,客观,严谨,优秀"的优良作风,努力为读者带来源源不断的优质内容。想访问更多酷毙的测试人网站?赶紧来DiggerPlus测试人网址导航看看吧!

===== DiggerPlus Team =====
DiggerPlus Team是DiggerPlus官方发起的团队,这是一群热爱科技,热爱测试,喜欢深度挖掘的热血测试人,他们是评测师,测试专家。 我们欢迎优秀的测试人加入DiggerPlus Team。 加入DiggerPlus,可以成为我们的认证Dper,认证Dper拥有DiggerPlus独一无二的专栏并得到个人展示。

===== DiggerPlus 官方读者群 =====
DiggerPlus官方读者群(一)

+ 关于本文作者

我也很想让世界变得更美好,可是上帝却不开放源代码。

的专栏 | 专栏作者 | 访问Kiven的主页

+ 已有2个评论

Copyright © 2014 DiggerPlus. 95 queries in 2.751 seconds.
使用合作网站账号快速登录,更多精彩等着您: 开源中国