-5
다른 그룹에서 방금 만든 웹 사이트를 테스트하도록 지정되었습니다. 나는 XSS 공격을 받기 쉽다는 것을XSS 및 PHP 공격
발견했다. 이 제는 XSS 공격하는 경향이 사이트가 반드시 PHP 코드를 허용하지 않을 수 있다는 가정을 주도
i.e. var someVar = <?php echo 'a'; ?>
alert(someVar);
: 나는 PHP와 JS를 사용할 때, 정말 오류 또는 유효한 정보까지
를 포기하지 않습니다
. 나 맞아? 그렇지 않다면 위에 게시 한 세그먼트가 있습니까?
그리고, 나는 GET 변수를 통해 PHP 주입을 시도하지 않은 이유는 내가 같이?
양식 page.php의 아무것도 사용하지 데이타베이스에 조회 ID = ''를 할 것입니다 지금은
POST를 통한 등록 및 로그인 부분을 제외하고.
조심스럽게 POST는 GET만큼 민감합니다. 다른 질문에 대해서는 이해할 수 없습니다. 설명하려고 애 쓰고있는 것, 미안해. – Bgi
XSS (cross-site scripting)는 모두 '
JavaScript는 클라이언트 측에서 실행되며 PHP는 서버 측에서 실행됩니다. JavaScript를 사용하여 클라이언트 측에서 PHP를 실행할 수있는 방법은 없습니다. wiki에서 자세한 내용을 확인하십시오.
당신이 할 수있는 일은 가치가 서버 측에서 유효성을 검사하지 않고 직접 DB로 이동하여 사이트 페이지의 어딘가에 표시하면 모든 웹 사이트 입력 필드에서 태그에 싸여있는 js 코드를 게시하는 것입니다 js 코드가 다른 클라이언트와 마찬가지로 실행되므로 클라이언트 컴퓨터에서 js 코드가 재미있는 일을 할 수 있습니다
출처
2013-03-12 11:46:18 Sergio