在测试程序XSS(Cross Site Scripting)漏洞的时候可以借助一些工具,如Paros等开源的工具,同时也要自己构造一些参数和页面整合,来查看程序的安全性!测试时要注意三种情况:
1.直接那这种没处理过的代码和页面组合
>"'><script>alert(‘XSS')</script>
2.将代码转换为ASCII码形式和页面进行组合
>"'><script>alert(‘XSS')</script> 变成ASCII码形式:%3E%22%27%3E%3C%73%63%72%69%70%74%3E%61%6C%65%72%74%28%2018%58%53%53%27%29%3C%2F%73%63%72%69%70%74%3E
3.将代码部分转换为ASCII码和页面进行组合
>"'><img src="javascript:alert('XSS')"> 部分转换为ASCII码形式>%22%27><img%20src%3d%22javascript:alert(%27XSS%27)%22>
另外测试时在IE6浏览器中可以直接看到效果,在IE7、火狐、谷歌内核的浏览器中就看不到效果!
