什么是javascript注入?以及如何在软件测试中使用它?

时间:2012-04-03 04:44:35

标签: javascript security testing qa

我对javascript injection一无所知。它与SQL Injection类似吗? 如何在软件测试中使用javascript injection

4 个答案:

答案 0 :(得分:3)

JS注入正在从客户端调用的客户端运行javascript。您可以在浏览器中或在Chrome中的控制台中执行此操作。在测试中,它可能会有所帮助,因为您可以与实时Web应用程序进行交互,而无需重写,重新编译和重新测试。通过在您访问网页时修改网页,它也非常有用,即使弱密码验证脚本始终返回true,授予您登录访问权限。在chrome中,按 ctrl + shift + j 并转到控制台。在那里你可以玩一些javascript,看看它是如何为自己。其他浏览器使用url栏,如:

javascript:alert(some element = some val)

答案 1 :(得分:1)

虽然这里的大多数人都接受客户端javascript注入(也就是跨站点脚本)

  

表达“跨站点脚本”最初是指从一个加载受攻击的第三方Web应用程序的行为   不相关的攻击站点,以执行片段的方式   攻击者在安全上下文中编写的JavaScript   目标域(反射或非持久性XSS漏洞)   的 Wikipedia

随着NoSQL的兴起,我们有了一种新的注入方式 - 服务器端javascript注入SSJS,它在某种意义上与SQL注入非常相似。考虑查看描述它们的this论文(pdf!)。

答案 2 :(得分:0)

你可能指的是如何在像firebug这样的控制台中打开任何网页的javascript并覆盖那里定义的功能。通过这样做并添加额外的代码(或删除),您可以输出应该在封装中“封装”的数据......但它确实可以比这更进一步。

在某些浏览器中,如果您不介意在一行中书写,您甚至可以在网址栏中执行此操作

注意:跨站点脚本,这是我完全忘记的事情,直到nonnb提到它。哈哈杜鲁赫

答案 3 :(得分:0)

当谈论javascript注入时,XSS通常是读取的攻击。基本上,您将恶意javascript加载到以后可用于网络钓鱼的网页中。

我认为没有很好的javascript工具可以发现XSS漏洞。在安全方面,它仍然需要一个人(最好是安全专家)在工具的帮助下进行测试。