1.11 实验#11:webscantest网站有XSS攻击风险

缺陷标题 webscantest网站的search域存在XSS攻击风险。

测试平台与浏览器 Windows 7+Firefox浏览器。

测试步骤

(1)打开webscantest网站http://www.webscantest.com。

(2)单击页面右下方的Browser Cache Tests链接。

(3)在search域中输入scriptalert("徐晓玲")/script

(4)单击“提交”按钮。

(5)观察页面元素。

期望结果 不响应脚本信息。

实际结果 浏览器响应脚本信息,弹出XSS攻击成功对话框,显示“徐晓玲”,如图1-22所示。

图1-22 XSS攻击成功对话框

专家点评

测试工程师常用的XSS攻击语句及变种如下(许多场合都能攻击)。

上一章目录下一章