安全测试实践

此文章记录我在平时做功能测试(故事卡测试)时，在安全方面有哪些设计和执行来覆盖最常见的一些安全漏洞

XSS(cross site scripting)

如何测试

“XSS是跨站脚本攻击(Cross Site Scripting)，为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆，故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意Script代码，当用户浏览该页之时，嵌入其中Web里面的Script代码会被执行，从而达到恶意攻击用户的目的。”

推荐下面的方法进行测试

1. 手工测试。对支持用户动态输入的数据使用下列语句进行攻击

• 如果网站仅仅只过滤了pt> 如果网站只过滤了一个script标签，就可以利用过滤后返回语句再次构成攻击语句来绕过
• alert(1) 有的时候，服务器往往会对代码中的关键字（如alert）进行过滤，这个时候我们可以尝试将关键字进行编码后再插入，不过直接显示编码是不能被浏览器执行的，我们可以用另一个语句eval（）来实现。eval()会将编码过的语句解码后再执行
• 
  并不是只有script标签才可以插入代码

如何修复和预防

• 首先是过滤。对诸如