电脑安全

您当前的位置:主页 > 电脑安全 >

$_SERVER[’PHP_SELF’]的跨站脚本攻击-网络编程

来源:[db:来源]标题:   代码    编辑:电脑技术全能网 时间:2019-09-20 18:31

原标题:$_SERVER[’PHP_SELF’]的跨站脚本攻击-网络编程
   当初的web效劳器和开辟东西固然不会再呈现像asp的%81那样显明的破绽了,然而因为开辟职员的忽视和种种言语特征组合形成的一些奇怪的破绽依然会存在。明天偶尔读到的XSS Woes,就具体报告了和$_SERVER[’PHP_SELF’]相干的一个伤害破绽。 $_SERVER[’PHP_SELF’]在开辟的时间常会用到,个别用来援用以后网页地点,而且它是体系主动天生的全局变量,也会有甚么成绩么?让咱们先看看上面的代码吧:<form action=”<?php echo $_SERVER[’PHP_SELF’]; ?>”> <input type=”submit” name=”submit” value=”submit” /> </form> 这段代码十分简略,咱们想用$_SERVER[’PHP_SELF’]来让网页提交时提交到它本人,假定代码文件名为test.php,在履行的时间就一 定会失掉咱们冀望的地点么?起首尝尝地点http://…/test.php,成果固然是没有成绩的啦,别焦急,你再拜访一下http://… /test.php/a=1,将会失掉以下客户端代码:<form action=”/fwolf/temp/test.php/a=1″> <input type=”submit” name=”submit” value=”submit” /> </form> 明显,这曾经超越了咱们的冀望,web效劳器竟然没有发生诸如404之类的过错,页面畸形履行了,而且在天生的html代码中竟然有效户能够输出的局部,恐惧的处所就在这里。别鄙视谁人“a=1”,假如把它换成一段js代码,就显得更伤害了,比方这么挪用: http://…/test.php/%22%3E%3Cscript%3Ealert(’xss’)%3C/script%3E%3Cfoo是不是看到了js的alert函数履行的后果?检讨一下天生的html源代码找找起因吧。 经过这类嵌入js代码的方法,攻打者能

上一篇:用GD库给图片加中文实例-网络编程

下一篇:没有了