zoukankan      html  css  js  c++  java
  • XSS漏洞扫描经验分享

    关于XSS漏洞扫描,现成的工具有不少,例如paros、Acunetix等等,最近一个项目用扫描工具没有扫出漏洞,但还是被合作方找出了几个漏洞。对方找出的漏洞位置是一些通过javascript、ajax方式向后台发出的请求,这些用工具都没有扫描出来,看来找漏洞还是需要工具加手工结合起来。

    怎么样用手工的方法来找,我们用了比较原始的方法,人手从后台代码里面找出所有会接收前台请求的地方,把请求的路径、参数等等全部列出来,然后在逐条检查是否存在漏洞。

    当然,因为能够接收请求的位置太多了,全部用人工方式逐条检查的话太辛苦了,所以我们还是用了一些自己编写小工具的来帮忙。

    工具的原理就是先用一个excel记录每个请求的controller、action、param和value,然后用程序读取并拼接成一个请求,发送到服务器获取返回信息。之后通过字符比较或者正则检查返回信息中是否包含请求中的一些关键字,如果有,则表示可能存在漏洞,需要进一步排查。

    通过使用小工具可以过滤掉大量安全的请求,少量可能存在漏洞的请求的再用人工方法检查,大大减少了工作量。而整个测试的难点就在于找齐所有的请求,这个需要开发人员帮忙,也是一项非常费时费力的工作。

    工具的代码上传到了github: https://github.com/pascocai/url-scan

    后来想想,其实使用JMeter也应该也可以做到,具体还没有操作,待以后实操可行之后再补充具体做法。

  • 相关阅读:
    数据库设计三大范式
    常用正则表达式
    全国省市县无刷新多级关联菜单
    可选择Email和用户名登录的代码
    注册与登录界面的美化
    只能输入汉字js脚本
    js确认删除对话框
    同步文本框内容的JS代码
    网站变灰代码
    悬浮右侧可展开搜索的客服代码
  • 原文地址:https://www.cnblogs.com/pasco/p/3939690.html
Copyright © 2011-2022 走看看