如何檢測網站是否存在XSS跨站漏洞

爲了防止發生XSS， 不少瀏覽器廠商都在瀏覽器中加入安全機制來過濾XSS。 例如IE8，IE9，Firefox, Chrome. 都有針對XSS的安全機制。 瀏覽器會阻止XSS。最好使用ie7來測試。

方法一：  查看代碼，查找關鍵的變量,   客戶端將數據傳送給Web 服務端通常經過三種方式 Querystring, Form表單，以及cookie.  例如在ASP的程序中，經過Request對象獲取客戶端的變量。

<%
strUserCode =  Request.QueryString(「code」);
strUser =  Request.Form(「USER」);
strID =    Request.Cookies(「ID」);
%>

假如變量沒有通過htmlEncode處理， 那麼這個變量就存在一個XSS漏洞方法二：　準備xss跨站漏洞測試腳本， "/><script>alert(document.cookie)</script><!--
< script>alert(document.cookie)</script><!--
"onclick="alert(document.cookie)  在網頁中的Textbox或者其餘能輸入數據的地方，輸入這些測試腳本， 看能不能彈出對話框，能彈出的話說明存在XSS漏洞

 在URL中查看有那些變量經過URL把值傳給Web服務器， 把這些變量的值退換成咱們的測試的腳本。  而後看咱們的腳本是否能執行

 

方法三:  自動化測試XSS漏洞
如今已經有不少XSS掃描工具了。 實現XSS自動化測試很是簡單，只須要用HttpWebRequest類。 把包含xss 測試腳本。發送給Web服務器。 而後查看HttpWebResponse中，咱們的XSS測試腳本是否已經注入進去了。