Web渗透测试之存储型XSS

漏洞描述由于系统未对用户输入的数据做严格过滤,导致恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意用户的特殊目的。

测试方法在有输入框的提交界面,插入XSS测试语句进行提交,插入">即可发生弹窗。

风险分析存储型跨站脚本攻击最为常见的场景是将跨站脚本写入文本输入域中,如留言板、博客或新闻发布系统的评论框。当用户浏览留言和评论时,浏览器执行跨站脚本代码。

测试步骤:1.输入框输入XSS测试语句">

Web渗透测试之存储型XSS_第1张图片

                   2.查看数据库,此段恶意代码被储存到数据库

                  3.界面查看新增的角色,任意用户浏览到该数据都会执行恶意代码展示弹窗

Web渗透测试之存储型XSS_第2张图片

f12可以看到我们的恶意代码

Web渗透测试之存储型XSS_第3张图片

你可能感兴趣的:(安全测试,xss,安全,前端)