1.11　实验#11：webscantest网站有XSS攻击风险

缺陷标题　webscantest网站的search域存在XSS攻击风险。

测试平台与浏览器　Windows 7+Firefox浏览器。

测试步骤

（1）打开webscantest网站http://www.webscantest.com。

（2）单击页面右下方的Browser Cache Tests链接。

（3）在search域中输入scriptalert（＂徐晓玲＂）/script。

（4）单击“提交”按钮。

（5）观察页面元素。

期望结果　不响应脚本信息。

实际结果　浏览器响应脚本信息，弹出XSS攻击成功对话框，显示“徐晓玲”，如图1-22所示。

图1-22　XSS攻击成功对话框

专家点评

测试工程师常用的XSS攻击语句及变种如下（许多场合都能攻击）。