我可以用来测试页面输入的 XSS 示例?

2022-08-30 19:14:28

我在使用 XSS 时遇到问题。具体来说,我有一个单独的注入JS警报,显示我的输入有漏洞。我对XSS进行了研究并找到了一些例子,但由于某种原因,我无法让它们发挥作用。

我能否获得XSS的示例,我可以将其放入我的输入中,当我将其输出回用户时,会看到某种更改,例如警报以了解它易受攻击?

我正在使用PHP,我将实现htmlspecialchars(),但我首先尝试重现这些漏洞。

谢谢!


答案 1

你可以使用这个火狐插件:

XSS-Me 是用于测试反射式跨站点脚本 (XSS) 的 Exploit-Me 工具。它当前不测试存储的 XSS。

该工具的工作原理是提交 HTML 表单,并使用代表 XSS 攻击的字符串替换表单值。如果生成的 HTML 页面设置了特定的 JavaScript 值 (document.vulnerable=true),则该工具会将该页面标记为容易受到给定 XSS 字符串的攻击。该工具不会尝试损害给定系统的安全性。它寻找针对系统的攻击的可能入口点。该工具没有端口扫描,数据包嗅探,密码黑客攻击或防火墙攻击。

您可以将该工具完成的工作视为与站点的QA测试人员手动将所有这些字符串输入到表单字段中相同的工作。


答案 2

例如:

<script>alert("XSS")</script>
"><b>Bold</b>
'><u>Underlined</u>