打造一个自动检测页面是否存在XSS的插件Ⅲ的网络安全管理

2015-09-28 09:03 作者：admin 浏览量：

 　0×01 检测思路(网络维护服务公司)

　　先判断页面是否存在form表单，如果不存在，则不运行相关的检测代码。当页面存在form表单时，则过滤出正确符合条件的form表单，满足下面的条件：

　　一、Form表单里如果存在img标签，则判断src属性值，查看后缀是是否为jpg、png、jpeg、gif，如果不为这些后缀，说明是“验证码”返回false，因为存在“验证码”的form表单，ajax发送会出错，因为我们不知道获取“验证码”的值。

　　二、form标签必须存在input的type属性为submit的标签，text、password、radio、checkbox这些必须要有一个存在才可以。(it外包)

　　上面筛选的结果只是最初的筛选结果，还需要判断form表单里的input是否存在name值，不然无法构造ajax发送的数据。

　　然后就是发送了。“form表单XSS检测”主要就是筛选出正确符合条件的麻烦。还有发送时数据的处理也比较麻烦。

　　0×02 测试环境

　　根据上面的检测思路，我们需要一个符合思路的测试环境。如下：

　　一、需要一个form表单里存在图片，而且可以触发XSS。

　　二、需要一个form表单里存在图片，不可以触发XSS。

　　三、需要一个form表单里存在以“动态文件”(验证码图片)为后缀的form表单。

　　四、需要一个没有图片，可以触发XSS的form表单。(北京it外包)

　　五、需要一个没有图片，不可以触发XSS的form表单。

   未完待续

　　艾锑无限是中国领先IT外包服务商，专业为企业提供IT运维外包、电脑维护、网络维护、网络布线、办公设备维护、服务器维护、数据备份恢复、门禁监控、网站建设等多项IT服务外包,服务热线：400-650-7820 联系电话：010-62684652 咨询QQ1548853602 地址：北京市海淀区北京科技会展2号楼16D,用心服务每一天，为企业的发展提升更高的效率，创造更大的价值。

　　更多的IT外包信息尽在艾锑无限http://www.itbmw.com