有些开发人员喜欢在客户端进行用户输入的检查,这种方法其实是不安全的,因为跨站脚本攻击可以绕过客户端输入界面,利用一些工具来修改提交到服务器的字符串,从而达到跨站脚本攻击的目的。
TamperIE就是此类的小工具之一(www.bayden.com)
TamperIE安装后以插件的方式加载到IE浏览器中,监视IE浏览器与服务器之间的HTTP通信,截获提交到服务器的HTTP语句,修改其中的数据,然后再发送修改后的数据到服务器。
TamperIE还“贴心”地为测试员准备了以下几类带有“攻击性”的字符串:
'"
';drop tablename;
*' or '1'='1
'" onmouseenter="alert('XSS hole1 #n');" onreadystatechange="alert('XSS hole2 #n');"
q 2652652652652652652652652652652652652652652652652652652652652652652652652652652652652652652652652652652652652652652652652652652652652652652652652652652652652652652652652652652652652652652652652652652652652652652652652652652652652652652652652652652652652652652652652
没有评论:
发表评论