51Testing软件测试论坛

标题: 关于安全性测试 XXS攻击 不懂 求高手解答 [打印本页]

作者: candy84528    时间: 2013-11-7 13:52
标题: 关于安全性测试 XXS攻击 不懂 求高手解答
<script>
setTimeout('alert("You have been owned! I will hijack your Cookie:" + document.cookie);',1000);
setTimeout("document.body.innerHTML='<font size=7> THis page have been hacked!</font>';",3000);
setTimeout("window.location.reload()",5000);
</script>


Reflected Xss Attacks

<script>
alert('THis kinda is called Reflected XSS or first-order XSS!!');
for(i=0;i<=document.getElementsByTagName("td").length-1;i++)
{
if(document.getElementsByTagName("td")[i].innerHTML.indexof('$')>0.0)
{document.getElementByTagName("td")[i].innerHTML='$0.0';}
};
for(i=0;i<=document.getElementByTagName("input").length-1;i++)
{
if(document.getElementByTagName("input")[i].type=='TEXT')
{document.getElementByTagName("input")[i].value='100000';}
}
</script>


这些是什么意思   如何用于测试呀
作者: Miss_love    时间: 2013-11-14 08:32
坐等高人指点。
作者: 土土的豆豆    时间: 2013-12-11 09:46
XSS攻击代码用JS 来写脚本
这里给出攻击提醒文本 上3段 取了目标浏览器的cookie后返回攻击者 输入的文本消息。

下面是两段具体的代码用来替换原有的脚本:
1 验证长度>0.0的 然后统一替换成0.0
2 验证类型是TEXT 替换成100000

大致就是这个意思 具体也要熟悉JS code 然后懂具体的方法用来模拟
我说的也不一定完全正确 可以问问其他大大们意思~




欢迎光临 51Testing软件测试论坛 (http://bbs.51testing.com/) Powered by Discuz! X3.2