如何测试XSS漏洞

随着公众对Web安全的聚焦，越来越多的行业领域如运营商、政府电子政务互动平台、企事业门户网站及教育医疗机构等都已经开始频繁使用扫描器去评估其风险性，以便提前发现潜在的安全隐患，及时安全加固以保障网站业务的正常持续运转。反观扫描器使用群体的变化，已由专业安全人士更多地转向网站安全运维人员，这就给扫描器自身的可用性和易用性提出高要求。而扫描器的核心能力，如何帮助用户快速发现漏洞、识别漏洞并定位漏洞，以及什么样的验证场景可以确定漏洞真实存在就成为亟待解1 现状

由于Web安全技术功底的薄弱，在网站安全运维人员眼里，现有的扫描器依然显得过于专业。一份扫描报告中，大量显示漏洞存在的URL、弱点参数以及扫描器自身所构造的各种请求等晦涩难懂的内容，常常让安全运维人员不知所云，甚至不得不专请专业人员进行二次解读。而且这种易读性差的扫描报告不能让运维人员第一时间识别出漏洞风险分布并制定相应漏洞的修补计划，从而无法真正贯彻防微杜渐的安全思路，保障网站业务安全可靠地运行。

由于受限于目标网站环境的复杂性、漏洞种类的多样性，扫描器或多或少存在误报。为保证漏洞发现的权威性，增强报告内容的可信度，扫描器本身必须能清晰地给出：漏洞是如何被发现的，哪些页面及参数有问题，风险详情如何，有无重现该漏洞发现的场景分析文件，向导式的二次验证等。而如何对发现的漏洞进行权威验证这一点，一直是业界关注的焦点话题。

2可视化漏洞分析

基于现状，绿盟科技提出了一种可视化的 Web漏洞 分析方法。该方法依据漏洞种类的不同，从扫描器判断漏洞存在的角度：首先从逻辑层面给出相关标准，作为判断此漏洞是否存在的条件依据;其次从漏洞触发层面列出该漏洞发现时的具体交互方式，如通过哪些检测手段，构造哪些URL参数;再从数据支撑层面列出漏洞检测过程中所交互的所有数据信息，如扫描器发送的网络请求与站点响应报文以及对应的具体页面源码文件等;最后，整个漏洞分析过程统一打包成离线场景文件。此方法可让评估者轻松还原漏洞发现场景，重现漏洞发现的每一步直至全过程，真正实现漏洞分析过程的简单可视、通俗易懂，进而为下一步可能进行的漏洞误报确认提供可视化验证场景，达到准确识别的权威效果。

1、 判断标准

Web漏洞的形成有很多因素，不同漏洞的表现形式和产生原因差异很大，扫描器在确认漏洞的同时，需要给出针对该漏洞的判断标准和参考依据。

2、 执行详情

知道漏洞的产生原因和表现形式外，还需要构造可以产生这个漏洞的充分必要条件，明确哪些具体的 *** 作和方法能够触发这个漏洞，使其通过可理解的直观现象展示出来，并最终与判断标准相符合。

3、 过程报文

漏洞的探索和发现不是一蹴而就的，是一个有强烈依赖关系的发包探测、规则匹配的逻辑过程。过程报文还原了整个探测过程中的收发包情况，探测方对被探测Web站点都发送了哪些请求，对方服务器是如何应答的，过程报文都一一记录，为分析漏洞和网站实时响应提供有利数据。

以下给出了几种常见的漏洞类型，利用本文所介绍的可视化分析方法分别进行具体阐述。

21 XSS漏洞

基于特征值匹配来进行检测的XSS漏洞类型，其常见的检测逻辑如图 3 所示，是一个反复探测和验证的过程。

扫描器通过爬虫爬取Web站点的有效链接后，传递给相关插件进行探测扫描。插件在获取链接后，需要判断此链接是否有存在该漏洞的条件，抽取所有可能存在漏洞的位置点，构造请求URL和参数值去探测和发包，根据该漏洞的表现形式来判断返回的页面是否存在漏洞。

对应的特征值匹配检测逻辑条件满足后，漏洞发现条件也同步形成。此时，扫描器会把如下内容一一罗列出来：尝试探测的URL链接，具体的请求方式，在哪个参数字段上构造的特征值，相关的判断标准，最终构造的请求变量和URL语句函数，执行结果与预期结果的差异，页面请求和响应报文结果等漏洞确认的详情。

这样，就为此类XSS漏洞的发现提供了一个完整的检测可视化过程，让评估者清晰知晓XSS漏洞存在的相关判断依据、具体位置及如何验证和结果对比等。

22 SQL盲注

对于像SQL盲注这样的检测是不能通过特征值匹配来检测的，需要构造多次相似请求，根据返回页面的不同来判断，如图 6。

插件在获取到被检测URL后，抽取可能存在漏洞的注入点，会尝试发送三次请求获取充分条件。第一次采样，原始请求，将原始页面内容作为采样标准A;第二次采样，伪真页面B;第三次采样，false页面C。SQL盲注的检测，需要计算B/A和 C/A 之间的相似度，在某个确定的范围内就可以判定是否存在注入。

此基于相似度对比的检测过程对于评估者来说完全是黑盒的，根本无法获知真假页面之间的区别和差异，直观感受更无从谈起。而若采用本文介绍的可视化漏洞分析方法，如图7-1所示，扫描器通过提供可视化的漏洞检测过程，在判断标准中给出了插件的检测过程和漏洞表现形式，判断详情中给出了发送的伪真、错误请求URL，以及原始URL的请求和对应响应报文。

根据如上两组数据的页面相似度对比结果可以清楚看出两者之间的差异，当这个差异落在特定范围内时，就判断SQL盲注存在。从探测到展示，给评估者提供了重现该漏洞的完整场景。

23 弱口令猜测

在检测表单登录是否存在弱口令时，扫描器会根据预配置的弱口令列表或者自定义弱口令字典，通过枚举用户名和口令尝试登录，进行扫描确认。如图8所示，在获取到登录页面后，扫描器会根据配置的弱口令进行登录探测。

在检测出弱口令漏洞后，会给出具体的用户名、密码。评估者可以直接用给出的弱口令尝试登录漏洞URL。如图9的判断详情中，给出了具体的登录页面，检测出来的弱口令为admin，admin，看到请求响应，发现页面跳转到了主页面，登录成功，表示存在漏洞，从而重现这一探测过程。

3 结束语

通过上述简单介绍的可视化漏洞分析方法，评估者在看到扫描报告时，通过漏洞的判断标准、执行详情、过程报文，再也无须因不了解漏洞成因而困惑为什么Web环境会存在这样的漏洞，或者质疑是否存在误报，相关漏洞到底是如何被发现和确认的。此外，通过从扫描器给出的离线版漏洞场景文件，可以重现漏洞发现及确认全过程，从而进一步获取漏洞详情，为下一步的漏洞验证、漏洞修复提供更有效的参考数据。

360安全卫士是会把一些软件漏洞也扫描出来的。

举个例子：360会扫描出RealPlayer10播放器中的漏洞，并建议你立即升级到最新的RealPlayer11，这个漏洞其实是无关紧要的。因为一些骇客根本就不会无聊到利用这种播放软件中的漏洞来攻击你的系统，而且，就算是升级到了RealPlayer11，由于RealPlayer11是刚出来的最新版的播放器，所以难免也会有漏洞存在。所以对于一些像是播放软件等等无关紧要的软件中被360检测出来的漏洞，最好的方法就是置之不理了，如果你愿意，那就去升级吧。但是相信很快地、等到360中的漏洞特征库更新了，它又会检测出RealPlayer11中的漏洞，并再次要求你升级，这样一来就会没完没了了。

但是，建议你一定要及时修复一些办公软件中的漏洞（Office2003/2007系列中的漏洞），那些漏洞可是致命的，是骇客们钟爱的攻击目标。

漏洞是在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷，从而可以使攻击者能够在未授权的情况下访问或破坏系统。具体举例来说，比如在Intel Pentium芯片中存在的逻辑错误，在Sendmail早期版本中的编程错误，在NFS协议中认证方式上的弱点，在Unix系统管理员设置匿名Ftp服务时配置不当的问题都可能被攻击者使用，威胁到系统的安全。因而这些都可以认为是系统中存在的安全漏洞。

漏洞与具体系统环境之间的关系及其时间相关特性

漏洞会影响到很大范围的软硬件设备，包括作系统本身及其支撑软件，网络客户和服务器软件，网络路由器和安全防火墙等。换而言之，在这些不同的软硬件设备中都可能存在不同的安全漏洞问题。在不同种类的软、硬件设备，同种设备的不同版本之间，由不同设备构成的不同系统之间，以及同种系统在不同的设置条件下，都会存在各自不同的安全漏洞问题。

漏洞问题是与时间紧密相关的。一个系统从发布的那一天起，随着用户的深入使用，系统中存在的漏洞会被不断暴露出来，这些早先被发现的漏洞也会不断被系统供应商发布的补丁软件修补，或在以后发布的新版系统中得以纠正。而在新版系统纠正了旧版本中具有漏洞的同时，也会引入一些新的漏洞和错误。因而随着时间的推移，旧的漏洞会不断消失，新的漏洞会不断出现。漏洞问题也会长期存在。

因而脱离具体的时间和具体的系统环境来讨论漏洞问题是毫无意义的。只能针对目标系统的作系统版本、其上运行的软件版本以及服务运行设置等实际环境来具体谈论其中可能存在的漏洞及其可行的解决办法。

同时应该看到，对漏洞问题的研究必须要跟踪当前最新的计算机系统及其安全问题的最新发展动态。这一点如同对计算机病毒发展问题的研究相似。如果在工作中不能保持对新技术的跟踪，就没有谈论系统安全漏洞问题的发言权，即使是以前所作的工作也会逐渐失去价值。

1、以CVE开头，如 CVE-1999-1046 这种

CVE 的英文全称是“Common Vulnerabilities & Exposures”公共漏洞和暴露。CVE就好像是一个字典表，为广泛认同的信息安全漏洞或者已经暴露出来的弱点给出一个公共的名称。使用一个共同的名字，可以帮助用户在各自独立的各种漏洞数据库中和漏洞评估工具中共享数据，虽然这些工具很难整合在一起。这样就使得CVE成为了安全信息共享的“关键字” 。如果在一个漏洞报告中指明的一个漏洞，如果有CVE名称，你就可以快速地在任何其它CVE兼容的数据库中找到相应修补的信息，解决安全问题 。

2、以CAN开头，如 CAN-2000-0626 这种

“CAN”和“CVE”的唯一区别是前者代表了候选条目，还未经CVE编辑委员会认可，而后者则是经过认可的条目。 然后，两种类型的条目都对公众可见，条目的编号不会随着认可而改变—仅仅是“CAN”前缀替换成了“CVE”。

3、 BUGTRAQ

BugTraq是一个完整的对计算机安全漏洞（它们是什么，如何利用它们，以及如何修补它们）的公告及详细论述进行适度披露的邮件列表

4、以 CNCVE开头，如CNCVE-20000629

CNCVE就是中国（CN）的 CVE ，是CNCERT/CC（国家计算机网络应急处理协调中心）为漏洞进行编号的一个自己的标准，即国家计算机网络应急处理协调中心（CNCERT/CC）领导下，国内正在组建自己的 CVE 组织。 CNCVE的组建目的就是建设一个具有中国特色的，能为国内广大用户服务的CVE组织。国际CVE组织仅仅是描述漏洞的主要特征，统一命名漏洞。CNCVE不但包含漏洞的描述予以统一定义，还将包括漏洞的补丁、验证等措施，更方便、有用。

5、 以 CNVD开头，如 CNVD-2014-0282

CNVD是国家信息安全漏洞共享平台。是由国家计算机网络应急技术处理协调中心（简称CNCERT）联合国内重要信息系统单位、基础电信运营商、网络安全厂商、软件厂商和互联网企业建立的信息安全漏洞信息共享知识库，漏洞编号规则为CNVD-xxxx-xxxxx。

6、以CNNVD开头，如 CNNVD-201404-530

CNNVD 是中国国家信息安全漏洞库，漏洞编号规则为CNNVD-xxxxxx-xxx。是中国信息安全测评中心为切实履行漏洞分析和风险评估的职能，负责建设运维的国家信息安全漏洞库，为我国信息安全保障提供基础服务。

以上就是关于如何测试XSS漏洞全部的内容，包括:如何测试XSS漏洞、常见的 *** 作系统漏洞有哪些怎么解决、Web漏洞扫描：场景可视化重现技术等相关内容解答，如果想了解更多相关内容，可以关注我们，你们的支持是我们更新的动力！