如何在soap ui中为Json做跨站脚本？答案

【问题标题】：How to do cross site scripting for Json in soap ui?如何在soap ui中为Json做跨站脚本？
【发布时间】：2017-05-03 07:05:23
【问题描述】：

以下是我的 Json 请求。

{"description":"${#TestCase#description}","assignedToName":null,"title":"${#TestCase#title}","priority":"2"}

在此描述和标题中是用户输入字段。我正在尝试为这些字段执行跨站点脚本和 SQL 注入。

在创建安全测试时，我在参数下拉列表中没有看到这些描述和标题两个属性。

似乎我需要为 json 请求提供 Xpath 以在迭代的基础上执行 XSS。我有 $.description (JsonPath) 和 /description.. 两者都不适合我。

怎么做？

谢谢

【问题讨论】：

标签： soapui

【解决方案1】：

跨站脚本（XSS）：对于跨站点脚本，如果未正确验证，您可以在输入框中插入不正确的脚本，它将被您的服务器端代码接受并将注入数据库。然后当此数据打印在页面上时。此脚本将打印或执行直接翻页。将外部脚本插入页面是跨站脚本的基本思想。

这是一个例子

{"myJSON": "legit", "anyParameter": "12345<script>alert(1)</script>"}

SQL 注入： 基本上有两种 sql 注入尝试 1.Basic sql injection 和 2.Advanced SQL injection。所以在你的情况下，我认为你需要测试高级 sql injection。你将在互联网上获得有关它的逐步信息。

【讨论】：