Что такое инъекция JavaScript?и как это можно использовать в тестировании программного обеспечения?

Question

Понятия не имею относительно javascript injection.Это похоже на SQL Injection?А как использовать javascript injection в тестировании ПО?

Answer 1

JS-инъекция запускает JavaScript со стороны клиента, который вызывается клиентом. Вы можете сделать это в браузере или в консоли, как в Chrome. При тестировании это может быть полезно, поскольку вы можете взаимодействовать с живыми веб-приложениями без необходимости переписывать, перекомпилировать и повторно тестировать. Это также может быть очень полезно при взломе, изменяя веб-страницы, пока вы на них, то есть создание слабого скрипта проверки пароля всегда возвращает true, предоставляя вам вход в систему. В Chrome нажмите ctrl + shift + j и перейдите в консоль. Там вы можете поиграть с некоторыми JavaScript и посмотреть, как это для себя. Другие браузеры используют строку URL, например:

javascript:alert(some element = some val)

Answer 2

Хотя большинство людей здесь ссылаются на внедрение JavaScript на стороне клиента (он же межсайтовый скриптинг)

Выражение «межсайтовый скриптинг» первоначально относилось к акту загрузки атакованного стороннего веб-приложения из несвязанный сайт атаки, таким образом, который выполняет фрагмент JavaScript подготовлен злоумышленником в контексте безопасности целевой домен (отраженная или непостоянная уязвимость XSS).
Wikipedia

С появлением NoSQL у нас появился новый тип инъекций - SSJS-инъекция на стороне сервера, которая в некотором смысле очень похожа на SQL-инъекции. Рассмотрим эту статью (pdf!), Которая описывает их обоих.

Answer 3

XSS - это, как правило, атака, о которой нужно прочитать, когда говорят о внедрении javascript. В основном вы загружаете вредоносный javascript в веб-страницу, которая впоследствии может быть использована для фишинга.

Я не думаю, что есть отличные инструменты javascript, которые могут обнаружить уязвимости XSS. Когда дело доходит до безопасности, ему все еще нужен человек (предпочтительно эксперт по безопасности), чтобы начать тестирование, возможно, с помощью инструментов.

Answer 4

Возможно, вы говорите о том, как открыть javascript любой веб-страницы в консоли, например, firebug, и переписать определенные там функции.сделав это и добавив дополнительный код (или удалив), вы можете вывести данные, которые должны быть «инкапсулированы» в замыканиях ... хотя на самом деле это может пойти гораздо дальше.

в некоторых браузерах вы можетедаже сделайте это в строке URL, если вы не возражаете писать в одну строку

ПРИМЕЧАНИЕ: межсайтовый скриптинг, о котором я полностью забыл, пока nonnb не упомянул об этом.хаха дуууххх