masyarakat
Belajar
Perpustakaan Alatan
Alat AI
Masa lapang
cari
Melayu
Rumah pembangunan bahagian belakang tutorial php PHP漏洞全解(三)-客户端脚本植入

PHP漏洞全解(三)-客户端脚本植入

黄舟
黄舟
Dec 22, 2016 am 09:20 AM

客户端脚本植入(Script Insertion),是指将可以执行的脚本插入到表单、图片、动画或超链接文字等对象内。当用户打开这些对象后,攻击者所植入的脚本就会被执行,进而开始攻击。

可以被用作脚本植入的HTML标签一般包括以下几种:

1、<script>标签标记的javascript和vbscript等页面脚本程序。在<script>标签内可以指定js程序代码,也可以在src属性内指定js文件的URL路径</p> <p>2、<object>标签标记的对象。这些对象是java applet、多媒体文件和ActiveX控件等。通常在data属性内指定对象的URL路径</p> <p>3、<embed>标签标记的对象。这些对象是多媒体文件,例如:swf文件。通常在src属性内指定对象的URL路径</p> <p>4、<applet>标签标记的对象。这些对象是java applet,通常在codebase属性内指定对象的URL路径</p> <p>5、<form>标签标记的对象。通常在action属性内指定要处理表单数据的web应用程序的URL路径</p> <p>客户端脚本植入的攻击步骤</p> <p>1、攻击者注册普通用户后登陆网站</p> <p>2、打开留言页面,插入攻击的js代码</p> <p>3、其他用户登录网站(包括管理员),浏览此留言的内容</p> <p>4、隐藏在留言内容中的js代码被执行,攻击成功</p> <p><img src="/static/imghw/default1.png" data-src="https://img.php.cn//upload/image/783/182/459/1482369543336355.jpg" class="lazy" title="1482369543336355.jpg" alt="65.jpg"></p> <p>实例</p> <p>数据库</p> <p>CREATE TABLE `postmessage` (</p> <p>`id` int(11) NOT NULL auto_increment,</p> <p>`subject` varchar(60) NOT NULL default ”,</p> <p>`name` varchar(40) NOT NULL default ”,</p> <p>`email` varchar(25) NOT NULL default ”,</p> <p>`question` mediumtext NOT NULL,</p> <p>`postdate` datetime NOT NULL default ’0000-00-00 00:00:00′,</p> <p>PRIMARY KEY (`id`)</p> <p>) ENGINE=MyISAM DEFAULT CHARSET=gb2312 COMMENT=’使用者的留言’ AUTO_INCREMENT=69 ;</p> <p>//add.php 插入留言</p> <p>//list.php 留言列表</p> <p>//show.php 显示留言</p> <p>提交下图的留言</p> <p><img src="/static/imghw/default1.png" data-src="https://img.php.cn//upload/image/538/482/519/1482369568467946.jpg" class="lazy" title="1482369568467946.jpg" alt="66.jpg"></p> <p><br></p> <p>浏览此留言的时候会执行js脚本</p> <p>插入 <script>while(1){windows.open();}</script> 无限弹框

插入

Alat AI Hot

Undresser.AI Undress

Undresser.AI Undress

Apl berkuasa AI untuk mencipta foto bogel yang realistik

AI Clothes Remover

AI Clothes Remover

Alat AI dalam talian untuk mengeluarkan pakaian daripada foto.

Undress AI Tool

Undress AI Tool

Gambar buka pakaian secara percuma

Clothoff.io

Clothoff.io

Penyingkiran pakaian AI

Video Face Swap

Video Face Swap

Tukar muka dalam mana-mana video dengan mudah menggunakan alat tukar muka AI percuma kami!

Tunjukkan Lagi

Artikel Panas

Assassin's Creed Shadows: Penyelesaian Riddle Seashell
3 minggu yang lalu By DDD
Apa yang Baru di Windows 11 KB5054979 & Cara Memperbaiki Masalah Kemas Kini
3 minggu yang lalu By DDD
Di mana untuk mencari kad kunci kawalan kren di atomfall
3 minggu yang lalu By DDD
<🎜>: Rails Dead - Cara Melengkapkan Setiap Cabaran
4 minggu yang lalu By DDD
Panduan Atomfall: Lokasi Item, Panduan Pencarian, dan Petua
1 bulan yang lalu By DDD
Tunjukkan Lagi

Alat panas

Notepad++7.3.1

Notepad++7.3.1

Editor kod yang mudah digunakan dan percuma

SublimeText3 versi Cina

SublimeText3 versi Cina

Versi Cina, sangat mudah digunakan

Hantar Studio 13.0.1

Hantar Studio 13.0.1

Persekitaran pembangunan bersepadu PHP yang berkuasa

Dreamweaver CS6

Dreamweaver CS6

Alat pembangunan web visual

SublimeText3 versi Mac

SublimeText3 versi Mac

Perisian penyuntingan kod peringkat Tuhan (SublimeText3)

Tunjukkan Lagi

Topik panas

Di manakah pintu masuk log masuk untuk e-mel gmail?
7694
15
Tutorial Java
1640
14
Tutorial CakePHP
1393
52
Tutorial Laravel
1287
25
Tutorial PHP
1229
29
Tunjukkan Lagi
Related knowledge
Pelanggan VMware Horizon tidak boleh dibuka [Betulkan] Pelanggan VMware Horizon tidak boleh dibuka [Betulkan] Feb 19, 2024 pm 11:21 PM

VMware Horizon Client membantu anda mengakses desktop maya dengan mudah. Walau bagaimanapun, kadangkala infrastruktur desktop maya mungkin mengalami masalah permulaan. Artikel ini membincangkan penyelesaian yang boleh anda ambil apabila klien VMware Horizon gagal dimulakan dengan jayanya. Mengapa klien VMware Horizon saya tidak boleh dibuka? Apabila mengkonfigurasi VDI, ralat mungkin berlaku jika klien VMWareHorizon tidak dibuka. Sila sahkan bahawa pentadbir IT anda telah memberikan URL dan bukti kelayakan yang betul. Jika semuanya baik-baik saja, ikuti penyelesaian yang dinyatakan dalam panduan ini untuk menyelesaikan isu tersebut. Betulkan Klien VMWareHorizon Tidak Dibuka Jika VMW tidak dibuka pada komputer Windows anda

Pelanggan VMware Horizon membeku atau terhenti semasa menyambung [Betulkan] Pelanggan VMware Horizon membeku atau terhenti semasa menyambung [Betulkan] Mar 03, 2024 am 09:37 AM

Apabila menyambung ke VDI menggunakan klien VMWareHorizon, kami mungkin menghadapi situasi di mana aplikasi membeku semasa pengesahan atau blok sambungan. Artikel ini akan meneroka isu ini dan menyediakan cara untuk menyelesaikan situasi ini. Apabila klien VMWareHorizon mengalami masalah pembekuan atau sambungan, terdapat beberapa perkara yang boleh anda lakukan untuk menyelesaikan isu tersebut. Betulkan klien VMWareHorizon membeku atau tersekat semasa menyambung Jika klien VMWareHorizon membeku atau gagal menyambung pada Windows 11/10, ikuti penyelesaian yang dinyatakan di bawah: Semak sambungan rangkaian Mulakan semula klien Horizon Semak status pelayan Horizon Kosongkan cache klien Betulkan Ho

Panduan Pembangunan Klien PHP MQTT Panduan Pembangunan Klien PHP MQTT Mar 27, 2024 am 09:21 AM

MQTT (MessageQueuingTelemetryTransport) ialah protokol penghantaran mesej ringan yang biasa digunakan untuk komunikasi antara peranti IoT. PHP ialah bahasa pengaturcaraan sisi pelayan yang biasa digunakan yang boleh digunakan untuk membangunkan klien MQTT. Artikel ini akan memperkenalkan cara menggunakan PHP untuk membangunkan klien MQTT dan memasukkan kandungan berikut: Konsep asas protokol MQTT Pemilihan dan contoh penggunaan perpustakaan klien PHPMQTT: Menggunakan klien PHPMQTT untuk menerbitkan dan

Bagaimana untuk menyelesaikan masalah bahawa halaman web Baidu Netdisk tidak dapat memulakan klien? Bagaimana untuk menyelesaikan masalah bahawa halaman web Baidu Netdisk tidak dapat memulakan klien? Mar 13, 2024 pm 05:00 PM

Apabila ramai rakan memuat turun fail, mereka mula-mula akan menyemak imbas di halaman web dan kemudian memindahkan kepada klien untuk memuat turun. Tetapi kadangkala pengguna akan menghadapi masalah bahawa halaman web Baidu Netdisk tidak boleh memulakan klien. Sebagai tindak balas kepada masalah ini, editor telah menyediakan penyelesaian untuk anda menyelesaikan masalah yang halaman web Baidu Netdisk tidak boleh memulakan pelanggan yang memerlukan boleh merujuk kepadanya. Penyelesaian 1. Mungkin Baidu Netdisk bukan versi terkini Buka klien Baidu Netdisk secara manual, klik butang tetapan di penjuru kanan sebelah atas, dan kemudian klik naik taraf versi. Jika tiada kemas kini, gesaan berikut akan muncul Jika terdapat kemas kini, sila ikut gesaan untuk mengemas kini. 2. Program perkhidmatan pengesanan Baidu Cloud Disk mungkin dilumpuhkan secara manual atau menggunakan perisian keselamatan untuk melumpuhkan program perkhidmatan pengesanan Baidu Cloud Disk secara automatik. Sila semak

Apakah pelanggan mudah alih Apakah pelanggan mudah alih Aug 16, 2023 pm 01:40 PM

Pelanggan mudah alih merujuk kepada aplikasi yang berjalan pada telefon pintar dan menyediakan pengguna dengan pelbagai fungsi dan perkhidmatan dalam bentuk pelanggan asli atau pelanggan web. Pelanggan mudah alih boleh dibahagikan kepada dua bentuk: klien asal dan klien web merujuk kepada aplikasi yang ditulis untuk sistem pengendalian tertentu menggunakan bahasa pengaturcaraan dan alat pembangunan tertentu Kelebihan pelanggan web ialah mereka mempunyai keserasian merentas platform. , boleh berjalan pada peranti berbeza tanpa sekatan sistem pengendalian, tetapi berbanding dengan klien asli, prestasi dan pengalaman pengguna klien web mungkin berkurangan.

Bagaimana untuk menulis klien FTP dalam PHP Bagaimana untuk menulis klien FTP dalam PHP Aug 01, 2023 pm 07:23 PM

Cara menulis klien FTP dalam PHP 1. Pengenalan FTP (File Transfer Protocol) ialah protokol yang digunakan untuk pemindahan fail pada rangkaian. Dalam pembangunan web, kita selalunya perlu memuat naik atau memuat turun fail melalui FTP. Sebagai bahasa sebelah pelayan yang popular, PHP menyediakan fungsi FTP yang berkuasa, membolehkan kami menulis klien FTP dengan mudah. Artikel ini akan memperkenalkan cara menulis klien FTP mudah menggunakan PHP dan memberikan contoh kod. 2. Sambungkan ke pelayan FTP dalam PHP, kita boleh menggunakan f

Bagaimana untuk mengalih keluar logo perisai di atas klien Win11? Bagaimana untuk mengalih keluar logo perisai di atas klien Win11? Jan 05, 2024 am 11:21 AM

Sesetengah pengguna Win11 telah menyedari bahawa logo perisai muncul di sebelah beberapa ikon perisian pada komputer peribadi mereka. Ini melindungi sistem komputer dan juga maklumat dan data penting yang disimpan di dalamnya daripada pelanggaran. Jika anda tidak menyukainya, anda boleh menyelesaikannya dengan kaedah berikut. Cara mengalih keluar logo perisai pada klien win11 1. Klik kanan bar tugas pada komputer dan pilih "Task Manager" 2. Kemudian klik "Start" di atas 3. Cari "Windows Defender" di sini dan klik kanan dan pilih "Disable ", kemudian Mulakan semula komputer.

klien dan pelayan win11 tidak menyokong ssl yang biasa digunakan klien dan pelayan win11 tidak menyokong ssl yang biasa digunakan Dec 29, 2023 pm 02:09 PM

Jika pelanggan mahupun pelayan tidak melaksanakan teknologi penyulitan SSL, sangat mudah untuk maklumat dicuri oleh penyerang perantara semasa proses penghantaran, sekali gus menyebabkan risiko serius kepada keselamatan data. Atas sebab ini, langkah-langkah yang sepadan harus diambil dengan segera untuk memastikan keselamatan data sensitif anda boleh merujuk kepada kaedah berikut untuk beroperasi. Pelanggan dan pelayan win11 tidak menyokong SSL1 yang biasa digunakan semasa menaik taraf dan mengubah sistem pelayan, anda boleh memberi keutamaan untuk menaik taraf dan mengoptimumkan sistem pelayan, atau menambah komponen yang diperlukan untuk memastikan ia dapat menyokong protokol SSL terkini dengan lancar. . 2. Gunakan sijil SSL Anda boleh membeli dan menggunakan sijil SSL yang dikeluarkan oleh pusat pensijilan berprestij, dan memasangnya dalam pelayan untuk mencapai fungsi ini. 3. Dayakan protokol SSL

See all articles