手工检测网站安全性方法
常见可以用手工检测网站安全性的漏洞如下:
1、XSS(CrossSite Script)跨站脚本攻击:XSS(CrossSite Script)跨站脚本攻击。它指的是恶意攻击者往Web 页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web 里面的html 代码会被执行,从而达到恶意用户的特殊目的。
测试方法:在数据输入界面,添加记录输入:,添加成功如果弹出对话框,表明此处存在一个XSS 漏洞。或把url请求中参数改为,如果页面弹出对话框,表明此处存在一个XSS 漏洞
修改建议:过滤掉用户输入中的危险字符。对输入数据进行客户端和程序级的校验(如通过正则表达式等)。Eg:对用户输入的地方和变量有没有做长度和对”<”,”>”,”;”,”’”等字符是否做过滤等。
★~!@#$%^&*()_+<>,./?;'"[]{}\-
★%3Cinput /%3E
★%3Cscript%3Ealert('XSS')%3C/script%3E
★
★
★★
★
★
★javascript:alert(/xss/)
★javascript:alert(/xss/)
★
★
★
★=’>
★1.jpg" οnmοuseοver="alert('xss')
★">
★http://xxx';alert('xss');var/ a='a
★’”>xss&<
★"οnmοuseοver=alert('hello');"
★&{alert('hello');}
★>"'>
★>%22%27>
★>"'>
★AK%22%20style%3D%22background:url(javascript:alert(%27XSS%27))%22%20OS%22
★%22%2Balert(%27XSS%27)%2B%22
★
★
★
★a?
★