PHP チャットルームへの攻撃を思い出してください_PHP チュートリアル-PHPチュートリアル-php.cn

ネチズンの「Xiao Hao」がチャットルームの IP を教えてくれて、チェックしてみるように頼んできました。当初はサーバーに侵入したかったのですが、おそらくそれを行うための技術がありませんでした。10分以上試しましたが、それでも侵入できませんでした。そこで、このチャットルームにどのようなバグがあるのかを調べたいと思いました。チャットルームは PHP+MySQL を使用して構築されていることがわかります。列には、ユーザー登録、パスワードを忘れた場合、情報の変更、ユーザーの自殺、チャットリスト、チャットの説明、およびリストの更新が含まれます。それからチャットが来ました。
ユーザー名を自分の好みに合わせて、xxxxxx で開くようにして、xxxxxx でユーザーを登録しました。ログイン。
どこから始めますか?チャットルームには基本的に抜け穴があるので、まずは修正情報を確認した方が良いと思います。クリックして情報を変更すると、次の画面が表示され、ユーザー名とシークレットを入力する必要があります。入力したら、次のステップはデータを変更することです。はい! データ変更にはユーザーのニックネームが含まれていますが、これは実際にはユーザー名です。すぐにソースファイルを確認して、次の HMTL ステートメントを確認してください:
============ ====== =========================カット===========
<フォーム名= ezchat" action="modified.php" method="post" enctype="multipart/form-data">

;/td>

ユーザーニックネーム:*

< ;/div>

============================== =======終わり ==================

http://www.bkjia.com/PHPjc/629807.html