我正在尝试在python中开发一个小型自动化工具,可以检查Web应用程序的表单输入是否存在XSS漏洞。我希望使用python mechanize库来实现这一点,这样我就可以自动填充表单并提交并从python代码中获取响应。虽然mechanize也可用作浏览器,但是有一种方法可以检测包含脚本的输入的浏览器警报消息。或者是否有任何其他python库,以便我可以执行此功能。任何示例代码都会很受欢迎。
PS:我正在尝试开发这个,以便我可以在我们正在开发的应用程序中找到它们并将它们包含在报告中而不是用于黑客目的。
谢谢。
答案 0 :(得分:0)
回答我自己的问题。提供警报消息的浏览器只是意味着我们的节点被注入DOM。通过简单地查找我在响应主体中注入的字符串,我可以确定给定的输入是否通过浏览器反映而没有进行适当的清理。