如今web应用已经占据市场大多数，在web的应用程序当中，大多数并不是通过静态的网页游览呈现出来的，而是需要通过服务器的动态进行处理，因此如果web应用在开发上存在缺乏防护意识，那么就会出现许多web应用漏洞，下面向日葵就来带大家了解一下常见web漏洞的测试方法。

　　SQL注入

　　向日葵小提示：SQL注入是较为常见的web应用漏洞，一般攻击者都是会选择SQL命令，插入到web表单中，通过递交或者输入域名等方式来请求查询字符串，从而达到欺骗服务器执行SQL命令的效果，来入侵服务器中的资料库，通过此漏洞入侵，可以获取数据，并且数据以及页面内容。

　　对于SQL注入，向日葵在这里教大家一种简单的测试方法，那就是在需要进行查询的页面中，输入and 1=1等简单sql语句，查看应答结构是否与输入正确查询条件的结果是否一致，如果一致则表明存在SQL注入漏洞。

　　二、XSS跨站脚本攻击

　　XSS跨站脚本攻击也是与SQL注入类似的一种攻击方式，xss也就是网页插入的脚本，通过运用前端的HTML和Javascript脚本等技术，发现此漏洞后，可以让用户在游览或者打开web应用时，控制用户的操作行为，同时还可以截获用户的登录账号、密码等数据。

　　向日葵提醒，该漏洞的测试方法就是在数据输入界面，输入：alert(/123/)，保存成功后如果弹出对话框，表明此处存在一个漏洞。或把url请求中参数改为alert(/123/)，如果页面弹出对话框，表明此处存在一个漏洞。

　　三、URL跳转漏洞

　　URL跳转漏洞也就是未经过验证的重定向漏洞，在web应用跳转不同页面的时候，会直接跳转到参数中的URL，将用户程序引导至第三方的链接当中，从而出现各种问题。

　　对于这一漏洞，向日葵表示测试的方法也是较为简单的，可以使用抓包工具抓取请求，抓取302的url，修改目标，查看是否能跳转，如果可以的话也就说明存在跳转漏洞。

　　以上就是web常见的漏洞及测试方法的介绍，向日葵表示，在web应用当中漏洞问题是存在的，对这些漏洞有一定的了解才能更好的做好预防哦，希望对您有用，如果您还有其他漏洞问题，可以持续关注向日葵，我们会不定期为大家普及相关漏洞问题！