DOM型和XSS自动化测试或人工测试

江小悠 17 0

人工测试思路:找到类似 documentwrite、 innerHTML赋值、 outterHTML赋值、 window.location操作、写 javascript后内容、 eval、setTimeout、setinterval等直接执行之类的函数点。
找到其变量,回溯变量来源观察是否可控,是否经过安全函数。自动化测试参看道哥的博客,思路是从输入入手,观察变量传递的过程,最终检查是否有在危险函数输出,中途是否有经过安全函数。但是这样就需要有一个 javascript解析器否则会漏掉一些通过js执行带入的部分内容。

发表评论 取消回复
表情 图片 链接 代码

分享