我对javascript injection
一无所知。它与SQL Injection
类似吗?
如何在软件测试中使用javascript injection
?
答案 0 :(得分:3)
JS注入正在从客户端调用的客户端运行javascript。您可以在浏览器中或在Chrome中的控制台中执行此操作。在测试中,它可能会有所帮助,因为您可以与实时Web应用程序进行交互,而无需重写,重新编译和重新测试。通过在您访问网页时修改网页,它也非常有用,即使弱密码验证脚本始终返回true,授予您登录访问权限。在chrome中,按 ctrl + shift + j 并转到控制台。在那里你可以玩一些javascript,看看它是如何为自己。其他浏览器使用url栏,如:
javascript:alert(some element = some val)
答案 1 :(得分:1)
虽然这里的大多数人都接受客户端javascript注入(也就是跨站点脚本)
随着NoSQL的兴起,我们有了一种新的注入方式 - 服务器端javascript注入SSJS,它在某种意义上与SQL注入非常相似。考虑查看描述它们的this论文(pdf!)。表达“跨站点脚本”最初是指从一个加载受攻击的第三方Web应用程序的行为 不相关的攻击站点,以执行片段的方式 攻击者在安全上下文中编写的JavaScript 目标域(反射或非持久性XSS漏洞) 的 Wikipedia 强>
答案 2 :(得分:0)
你可能指的是如何在像firebug这样的控制台中打开任何网页的javascript并覆盖那里定义的功能。通过这样做并添加额外的代码(或删除),您可以输出应该在封装中“封装”的数据......但它确实可以比这更进一步。
在某些浏览器中,如果您不介意在一行中书写,您甚至可以在网址栏中执行此操作
注意:跨站点脚本,这是我完全忘记的事情,直到nonnb提到它。哈哈杜鲁赫
答案 3 :(得分:0)
当谈论javascript注入时,XSS通常是读取的攻击。基本上,您将恶意javascript加载到以后可用于网络钓鱼的网页中。
我认为没有很好的javascript工具可以发现XSS漏洞。在安全方面,它仍然需要一个人(最好是安全专家)在工具的帮助下进行测试。