跨站攻击

跨站攻击概述

        XSS又叫CSS (Cross Site Script) ，跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意html代码，当用户浏览该页之时，嵌入其中Web里面的html代码会被执行，从而达到恶意用户的特殊目的。

 盗取Cookie

 重定向用户到钓鱼网站

 操纵受害者的浏览器

 蠕虫攻击

跨站攻击测试方法

        主要看代码里对用户输入的地方和变量有没有做长度和对 ”<” ,”>”, ”;” , ”’”等字符是否做过滤。还有要注意的是对于标签的闭合。

举例：在用户的输入域输入“input”,如果提交数据后，系统以普通字符串形式显示则证明没有此漏洞，如果显示为一个文本输入框，则证明存在此漏洞。