阿里吧吧 发表于 2008-8-21 22:29:49

web安全测试-跨站点脚本攻击(三)

总结

  XSS 测试通常只是整个 Web 应用程序安全性审查工作的一小部分,但是在执行测试时必须细致和彻底。在多年的工作中,我一直强调使用电子表格或其他方式来记录站点的所有页面,以及每个页面接受的输入值(查询字符串、cookie、POST 数据、SOAP),这是在测试前必须进行的一个重要步骤。与此同等重要的是,理解输入以及它在输出的 HTML 页面上的呈现方式。如果您知道了应用程序处理输入的方式,就会非常迅速地完成许多工作。不要浪费时间测试那些不会作为输出显示的输入。与开发人员和 PM 进行交流,并在开始测试前建立完善的威胁模型。

  必须细致和彻底。在多年的工作中,我一直强调使用电子表格或其他方式来记录站点的所有页面,以及每个页面接受的输入值(查询字符串、cookie、POST 数据、SOAP),这是在测试前必须进行的一个重要步骤。与此同等重要的是,理解输入以及它在输出的 HTML 页面上的呈现方式。如果您知道了应用程序处理输入的方式,就会非常迅速地完成许多工作。不要浪费时间测试那些不会作为输出显示的输入。与开发人员和 PM 进行交流,并在开始测试前建立完善的威胁模型。

baobao72931 发表于 2010-4-26 16:18:14

:(

msnshow 发表于 2010-4-27 13:56:35

很有难度,内容太多,只能用安全性检查工具来测试

qzj_test 发表于 2010-6-3 19:17:25

不明白

hbch521 发表于 2011-4-21 10:10:21

您的那个表格是否能给一份呢

1qazse4 发表于 2011-6-2 10:43:14

OKxiexie la
页: [1]
查看完整版本: web安全测试-跨站点脚本攻击(三)