什么是javascript注入？以及如何在软件测试中使用它？

关于

javascript注入

，我没有任何想法。它与SQL注入类似吗？

---

如何在软件测试中使用

javascript注入？
您可以参考如何在firebug这样的控制台中打开任何网页的javascript并覆盖其中定义的功能。通过这样做并添加额外的代码（或删除），您可以输出应该“封装”在闭包中的数据。。。不过，它确实可以走得更远

在某些浏览器中，如果您不介意只写一行，甚至可以在url栏中执行此操作

注意：在nonnb提到之前，我完全忘记了跨站点脚本。haha Duuuuhhh
JS注入正在运行客户端调用的javascript。您可以在浏览器中或在类似chrome的控制台中执行此操作。在测试中，它会很有帮助，因为您可以与实时web应用程序交互，而无需重写、重新编译和重新测试。它还可以非常有用的黑客通过改变网页，而你是在他们，即使弱密码验证脚本总是返回真授予你登录访问权。在chrome中，按ctrl+shift+j并转到console。在那里，你可以玩一些javascript，看看它是如何为自己。其他浏览器使用url栏，如：

javascript:alert(some element = some val)

当谈到javascript注入时，XSS通常是一种攻击。基本上，您可以将恶意javascript加载到一个网页中，该网页稍后可用于钓鱼

我认为没有什么好的javascript工具可以发现XSS漏洞。当涉及到安全性时，它仍然需要一个人（最好是安全专家）来进行测试，可能需要工具的帮助。
而这里的大多数人都提到客户端javascript注入（也称为跨站点脚本）

“跨站点脚本”一词最初指的是从服务器加载受攻击的第三方web应用程序的行为
不相关的攻击站点，以执行
攻击者在
目标域（反射的或非持久的XSS漏洞）。


随着NoSQL的兴起，我们有了一种新的注入——服务器端javascript注入SSJS，从某种意义上讲，它与SQL注入非常相似。考虑看看描述它们两者的纸（PDF！）。 谷歌搜索在哪些方面对你没有帮助？看看跨站点脚本（XSS）。