经典Bug永流传---每周一“虫”(二)

XSS：跨站脚本攻击，Cross-Site Scripting，为了和前端的css避免重名，简称为XSS，是指通过技术手段，向正常用户请求的HTML页面中插入恶意脚本，执行。

基础知识吸收型

Bug：web端：账号登录以后，在短信息页面，选择任意一个好友进行聊天，在聊天输入框，输入“<script>alert("hello")</script>”，确定后，会弹框提示，并发出内容显示test!!!

期望：显示alert ("hello")

产生原因：

开发没有对js进行过滤，造成的；

经典原因：

1. 在编辑框，新手或者没有培训过这个XSS注入测试，容易丢失这个测试点；
2. XSS注入测试，是可以避免窃取cookie、放蠕虫、网站钓鱼等，属于安全测试范畴，可以让网站的安全性提高，保护用户的使用安全；

测试场景：

1. 在web/APP或者接口数据珠宝输入框地方；

预防：

1. 问题提交Bug,并分享到到测试讨论组，进行不同项目同样场景的验证；（除了这种，还有接口数据抓包，修改数据也要注意这个测试项，后续分享）
2. 百度谷歌XSS含义，以及还有其他方式，并对其他常用的测试方式和测试场景，进行总结文档，然后发到测试团队让大家查看；
3. 登记到再发防止列表，对于项目常规测试抽查点；
4. 登记到经典Bug库，每月例会讲解；
5. 登记到新招测试测试内容点培训，从根本杜绝；