[置顶] XSS(Cross Site Scripting)测试注意

     在测试程序XSS(Cross Site Scripting)漏洞的时候可以借助一些工具，如Paros等开源的工具，同时也要自己构造一些参数和页面整合，来查看程序的安全性！测试时要注意三种情况：

 

1.直接那这种没处理过的代码和页面组合

 

>"'><script>alert(‘XSS')</script>

2.将代码转换为ASCII码形式和页面进行组合

 

>"'><script>alert(‘XSS')</script>  变成ASCII码形式：%3E%22%27%3E%3C%73%63%72%69%70%74%3E%61%6C%65%72%74%28%2018%58%53%53%27%29%3C%2F%73%63%72%69%70%74%3E

3.将代码部分转换为ASCII码和页面进行组合

 

 >"'><img src="javascript:alert('XSS')">    部分转换为ASCII码形式>%22%27><img%20src%3d%22javascript:alert(%27XSS%27)%22>

 

另外测试时在IE6浏览器中可以直接看到效果，在IE7、火狐、谷歌内核的浏览器中就看不到效果！