TamperIE - 一个小巧的XSS漏洞检测辅助工具

有些开发人员喜欢在客户端进行用户输入的检查，这种方法其实是不安全的，因为跨站脚本攻击可以绕过客户端输入界面，利用一些工具来修改提交到服务器的字符串，从而达到跨站脚本攻击的目的。

TamperIE就是此类的小工具之一（www.bayden.com）

TamperIE安装后以插件的方式加载到IE浏览器中，监视IE浏览器与服务器之间的HTTP通信，截获提交到服务器的HTTP语句，修改其中的数据，然后再发送修改后的数据到服务器。

TamperIE还“贴心”地为测试员准备了以下几类带有“攻击性”的字符串：

q      '"<script>alert('XSS hole #n');</script>

q      ';drop tablename;

q      *' or '1'='1

q      '" onmouseenter="alert('XSS hole #n');" onreadystatechange="alert('XSS hole #n');"

q      2652652652652652652652652652652652652652652652652652652652652652652652652652652652652652652652652652652652652652652652652652652652652652652652652652652652652652652652652652652652652652652652652652652652652652652652652652652652652652652652652652652652652652652652652