XSS(跨站脚本)小测试方法

XSS(Cross-Site Scripting)测试是Web应用安全测试的重要组成部分。以下是进行XSS小测试的基本方法：

基础测试步骤

1. 识别输入点：

   • 查找所有用户输入字段(表单、URL参数、HTTP头等)
   • 包括搜索框、评论框、登录表单、URL查询参数等

2. 基本测试向量：

   <script>alert('XSS')</script>
   

   "><script>alert('XSS')</script>
   

   '><script>alert('XSS')</script>
   

   <img src=x onerror=alert('XSS')>
   

3. 上下文相关测试：

   • HTML上下文：测试HTML标签注入
   • 属性上下文：测试在HTML属性中的注入
   • JavaScript上下文：测试在JS代码中的注入
   • URL上下文：测试在URL中的注入

进阶测试技术

1. 绕过过滤：

   • 大小写混合：<ScRiPt>alert('XSS')</sCriPt>
   • 编码绕过：使用HTML实体、URL编码、Unicode编码
   • 不使用script标签：<img src=x onerror=alert('XSS')>

2. DOM型XSS测试：

   • 检查document.location、document.URL等DOM操作
   • 测试eval()、setTimeout()、innerHTML等危险函数

3. 存储型XSS测试：

   • 提交恶意脚本到数据库(如评论、用户资料)
   • 检查脚本是否持久存储并在其他用户访问时执行

测试工具

1. 浏览器开发者工具：

   • 查看页面源代码
   • 监控网络请求
   • 调试JavaScript

2. 专业工具：

   • Burp Suite
   • OWASP ZAP
   • XSS Hunter

注意事项

1. 只在授权范围内测试
2. 避免使用可能造成实际危害的payload
3. 测试后清理测试数据
4. 记录所有测试过程和结果

示例测试用例

<!-- 测试反射型XSS -->
https://example.com/search?q=<script>alert(1)</script>

<!-- 测试存储型XSS -->
在评论框中提交：<svg/onload=alert('XSS')>

<!-- 测试DOM XSS -->
javascript:eval('alert("XSS")')

记住，XSS测试的目的是发现和修复漏洞，而不是利用它们。始终遵循道德黑客原则进行测试。