打造一個自動檢測頁面是否存在XSS的插件Ⅲ的網(wǎng)絡安全管理

2015-09-28 09:03 作者：admin 瀏覽量：

 　0×01 檢測思路(網(wǎng)絡維護服務公司)

　　先判斷頁面是否存在form表單，如果不存在，則不運行相關(guān)的檢測代碼。當頁面存在form表單時，則過濾出正確符合條件的form表單，滿足下面的條件：

　　一、Form表單里如果存在img標簽，則判斷src屬性值，查看后綴是是否為jpg、png、jpeg、gif，如果不為這些后綴，說明是“驗證碼”返回false，因為存在“驗證碼”的form表單，ajax發(fā)送會出錯，因為我們不知道獲取“驗證碼”的值。

　　二、form標簽必須存在input的type屬性為submit的標簽，text、password、radio、checkbox這些必須要有一個存在才可以。(it外包)

　　上面篩選的結(jié)果只是最初的篩選結(jié)果，還需要判斷form表單里的input是否存在name值，不然無法構(gòu)造ajax發(fā)送的數(shù)據(jù)。

　　然后就是發(fā)送了?！癴orm表單XSS檢測”主要就是篩選出正確符合條件的麻煩。還有發(fā)送時數(shù)據(jù)的處理也比較麻煩。

　　0×02 測試環(huán)境

　　根據(jù)上面的檢測思路，我們需要一個符合思路的測試環(huán)境。如下：

　　一、需要一個form表單里存在圖片，而且可以觸發(fā)XSS。

　　二、需要一個form表單里存在圖片，不可以觸發(fā)XSS。

　　三、需要一個form表單里存在以“動態(tài)文件”(驗證碼圖片)為后綴的form表單。

　　四、需要一個沒有圖片，可以觸發(fā)XSS的form表單。(北京it外包)

　　五、需要一個沒有圖片，不可以觸發(fā)XSS的form表單。

   未完待續(xù)

　　艾銻無限是中國領先IT外包服務商，專業(yè)為企業(yè)提供IT運維外包、電腦維護、網(wǎng)絡維護、網(wǎng)絡布線、辦公設備維護、服務器維護、數(shù)據(jù)備份恢復、門禁監(jiān)控、網(wǎng)站建設等多項IT服務外包,服務熱線：400-650-7820 聯(lián)系電話：010-62684652 咨詢QQ1548853602 地址：北京市海淀區(qū)北京科技會展2號樓16D,用心服務每一天，為企業(yè)的發(fā)展提升更高的效率，創(chuàng)造更大的價值。

　　更多的IT外包信息盡在艾銻無限http://www.wgjkw.cn