5.6 测试跨站脚本
谷歌创建了Gruyere项目,并以此作为测试Web应用漏洞利用和防御的一个途径。Gruyere项目的网站也签入了若干漏洞,其中包括XSS。你可以自己运行线上的Gruyere项目,或者你也可以将它下载到本地用作测试。
我们登入了自己的Gruyere之后,就能将之前的字符串复制到username输入字段,并点击Submit 按钮。下面的截图显示的是显示了CHAOS 脚本的Gruyere主页。
在输入字段输入的字符串如下:
CHAOS<script>alert('www.DrChaos.com')</script>
我们在用户名输入字段运行了XSS脚本后,我们应该能看到有些代码页显示在网站上了。这时,我们就能在网站上一看到用户名时生成一个警报弹窗。
除此之外,http://xss.progphp.com/ 是另一个测试XSS攻击和脚本的流行站点。你也可以写一些脚本,将他们输入到网站中,看看XSS会如何跟网站和你自己的Web浏览器安全地交互。