技能XSS、CSRF漏洞及如何測試介紹

關注互聯網安全，關注滲透測試。本文將會詳細介紹XSS、CSRF等常見互聯網安全性漏洞，並簡單介紹如何展開此類安全性測試。

XSS漏洞介紹

XSS又叫CSS（Cross Site Script），跨站腳本攻擊。它指的是惡意攻擊者往Web頁面裏插入惡意html程式碼，當用戶瀏覽該頁之時，嵌入其中Web裡面的html程式碼會被執行，從而達到惡意攻擊用戶的特殊目的。

XSS攻擊的危害包括

1、盜取各類用戶帳號，如機器登錄帳號、用戶網銀帳號、各類管理員帳號2、控制企業數據，包括讀取、篡改、添加、删除企業敏感數據的能力3、盜竊企業重要的具有商業價值的資料4、非法轉帳5、強制發送電子郵件6、網站掛馬7、控制受害者機器向其它網站發起攻擊

大致分：持久性和非持久型

按照攻擊利用手法分

反射型XSS漏洞保存型XSS漏洞基於DOM的XSS漏洞

非持久性XSS（Reflected cross-site scripting），是我們通常所說的反射型XSS，也是最常用，使用最廣的一種管道。它通過給別人發送帶有惡意腳本程式碼參數的URL，當URL地址被打開時，特有的惡意程式碼參數被HTML解析、執行。它的特點是非持久化，必須用戶點擊帶有特定參數的連結才能引起。

如何判斷

如何測試XSS漏洞

測試XSS漏洞工具

黑盒工具測試Paros（免費）Acunetix.Web.Vulnerability.Scanner（商業工具）

CSRF漏洞介紹

CSRF（Cross-site request forgery跨站請求偽造，也被稱為：one click attack/session riding，縮寫為：CSRF/XSRF。CSRF能够做的事情包括：以你名義發送郵件，發消息，盜取你的帳號，甚至於購買商品，虛擬貨幣轉帳……造成的問題包括：個人隱私洩露以及財產安全。

CSRF攻擊原理

如何測試CSRF

===== DiggerPlus Team =====DiggerPlus Team是DiggerPlus官方發起的團隊，這是一群熱愛科技，熱愛測試，喜歡深度挖掘的熱血測試人，他們是評測師，測試專家。我們歡迎優秀的測試人加入DiggerPlus Team。加入DiggerPlus，可以成為我們的認證Dper，認證Dper擁有DiggerPlus獨一無二的專欄並得到個人展示。

===== DiggerPlus官方讀者群=====

我也很想讓世界變得更美好，可是上帝卻不開放原始程式碼。