打造一個自動檢測頁面是否存在XSS的插件Ⅲ的網絡安全管理

2015-09-28 09:03 作者：admin 瀏覽量：

 　0×01 檢測思路(網絡維護服務公司)

　　先判斷頁面是否存在form表單，如果不存在，則不運行相關的檢測代碼。當頁面存在form表單時，則過濾出正確符合條件的form表單，滿足下面的條件：

　　一、Form表單里如果存在img標簽，則判斷src屬性值，查看后綴是是否為jpg、png、jpeg、gif，如果不為這些后綴，說明是“驗證碼”返回false，因為存在“驗證碼”的form表單，ajax發送會出錯，因為我們不知道獲取“驗證碼”的值。

　　二、form標簽必須存在input的type屬性為submit的標簽，text、password、radio、checkbox這些必須要有一個存在才可以。(it外包)

　　上面篩選的結果只是最初的篩選結果，還需要判斷form表單里的input是否存在name值，不然無法構造ajax發送的數據。

　　然后就是發送了?！癴orm表單XSS檢測”主要就是篩選出正確符合條件的麻煩。還有發送時數據的處理也比較麻煩。

　　0×02 測試環境

　　根據上面的檢測思路，我們需要一個符合思路的測試環境。如下：

　　一、需要一個form表單里存在圖片，而且可以觸發XSS。

　　二、需要一個form表單里存在圖片，不可以觸發XSS。

　　三、需要一個form表單里存在以“動態文件”(驗證碼圖片)為后綴的form表單。

　　四、需要一個沒有圖片，可以觸發XSS的form表單。(北京it外包)

　　五、需要一個沒有圖片，不可以觸發XSS的form表單。

   未完待續

　　艾銻無限是中國領先IT外包服務商，專業為企業提供IT運維外包、電腦維護、網絡維護、網絡布線、辦公設備維護、服務器維護、數據備份恢復、門禁監控、網站建設等多項IT服務外包,服務熱線：400-650-7820 聯系電話：010-62684652 咨詢QQ1548853602 地址：北京市海淀區北京科技會展2號樓16D,用心服務每一天，為企業的發展提升更高的效率，創造更大的價值。

　　更多的IT外包信息盡在艾銻無限http://www.qiaojiaju.cn