黑盒,白盒,灰盒_软件测试黑盒白盒_黑盒测试和白盒测试

在前面的内容中，我向大家介绍了一些XSS跨站脚本的基础概念，相信大家现在对跨站脚本有了一定的认识。黑盒,白盒,灰盒接下来，我们将讲述如何去发掘一些简单的XSS漏洞。

下面演示的示例可能比较简单，如想了解更多发掘和测试XSS的技术，请关注APTSec官方博客。

搭建测试环境

在发掘xss之前，首先要在本地搭建一个Web服务器，简便起见，可以使用AspServer。

AspServer是一款绿色的ASP服务器，使用它可以便利地开发和调试ASP程序，其下载和安装过程比较简单，这里不再叙述了。

待环境配置完毕，还需要下载一套用来测试的Web程序，这里以“ok3w新闻发布系统”为例。程序下载完后，把相关的程序文件压缩到网站根目录，然后启动AspServer，最后用浏览器打开或者即可访问该站点，如图1所示。

现在，我们要开始对“***新闻发布系统”进行XSS漏洞发掘和测试。进行安全测试的方法有几种，这里使用灰盒测试。什么是灰盒测试？要了解此概念 首先需要理解黑盒测试和白盒测试，是指知道程序内部的结构，也就是获取源代码的情况下对软件进行测试；黑盒则完全相反；而灰盒测试介于两者之间。

发掘反射型的XSS

众所周知，数据交互（即输入/输出）的地方最容易产生跨站脚本，因此，我们可以着重对网站的输入框、URL参数处进行测试。当然，所有来自COOKIE、POST表单、HTTP头的内容都可能产生XSS。黑盒,白盒,灰盒

浏览***新闻发布系统的页面，可以看见右上方有个“站内查找”的功能，如图2所示。在搜索框中输入跨站测试代码XSS<XSS>’”，然后单击【提交】按钮，提交后注意观察页面的返回的结果，如图3所示。

图1 ***新闻发布系统主页

[1]

本文来自电脑杂谈，转载请注明本文网址：
http://www.pc-fly.com/a/ruanjian/article-36122-1.html