2.3 Webscantest网站存在XSS攻击危险

缺陷标题：Tell us a little about yourself文本域存在XSS攻击危险。

测试平台与浏览器：Windows 7+Firefox浏览器。

测试步骤：

1）打开网站：http://www.webscantest.com。

2）进入页面：http://www.webscantest.com/crosstraining/aboutyou.php。

3）在输入域中输入“＜/script＞＜script＞alert（"attack"）＜/script＞”。如图2-2所示。

图2-2 在输入框中输入XSS攻击字符

4）单击“Submit”提交页面。

5）观察页面元素。

期望结果：不响应脚本信息。

实际结果：浏览器响应脚本信息，弹出“attack”对话框，如图2-3所示。

图2-3 网站弹出XSS攻击成功提示框

[攻击分析]：

现在的网站大多包含大量的动态内容以提高用户体验，Web应用程序能够显示用户输入相应的内容。例如有人喜欢写博客、有人喜欢在论坛中回帖、有人喜欢聊天，动态站点就会受到一种名为“跨站脚本攻击”的威胁，而静态站点因为只能看、不能修改，则完全不受其影响。

动态网站网页文件的扩展名一般为ASP、JSP、PHP等，要运行动态网页还需要配套的服务器环境；而静态网页的扩展名一般为HTML、SHTML等，静态网页只要用普通的浏览器打开就能解析执行。

测试工程师常用的XSS攻击语句及变种如下：（许多场合都能攻击）