2017-01-20 3 views
2

:

요약

양식 요소 :

<form method="post" action="<?php echo $_SERVER["PHP_SELF"];?>"> 

악성 코드 조각 어떤 사람이 브라우저 주소 표시 줄에 입력 한 내용 : http://www.example.com/test_form.php/%22%3E%3Cscript%3Ealert('hacked')%3C/script%3E

이 예제에서는 전자 양식 lement는 다음으로 변환됩니다 : 나는 생각을하는 동안 웹 주소가 존재하지 않는 경우에도 작동하는 이유

  1. <form method="post" action="test_form.php/"><script>alert('hacked')</script> 
    

    , 나는 이해가 안 돼요. 그 사람은 웹 사이트 을 찾을 수 없습니까라는 오류 메시지가 표시되지 않습니다. 실수로 실수로 주소를 입력하고 아무 것도 얻지 못한 경우처럼?

  2. 변경된 내용이 서버의 PHP 파일에 저장되지 않으면 어떻게 작동합니까? "해커"이외의 다른 사람이 영향을 받습니까? 악의적 인 코드를 수동으로 입력 한 해커이며 영향을받는 웹 페이지를 다운로드하는 것이 그의 브라우저임을 의미합니다.

틀린 개념을 틀림없이 받아 들여야합니다. 제발 고쳐주세요. 감사합니다

답변

2

이것은 웹 주소가 존재하지 않는 경우에도 작동합니다. 그 사람이 웹 사이트를 찾을 수 없다는 어떤 종류의 오류 페이지를 받아서는 안됩니까? 우연히 잘못된 주소를 입력하고 아무 것도 얻지 못한 경우처럼?

스크립트 경로 다음에 추가 데이터가 허용되도록 웹 서버가 구성되어 있으면 예외입니다. Apache에서는 AcceptPathInfo Directive으로 구성됩니다.

변경 내용이 서버의 PHP 파일에 저장되지 않으면 어떻게 작동합니까? "해커"이외의 다른 사람이 영향을 받습니까? 악성 코드를 수동으로 입력 한 것은 해커이며 영향을받는 웹 페이지를 다운로드하는 것은 그의 브라우저입니다.

XSS 공격은 악의적 인 페이로드가 대상의 브라우저에서 실행될 수 있도록 공격자가이 URL을 방문하도록 대상을 가져와야합니다. 이렇게하는 한 가지 방법은 악의적 인 링크를 클릭하여 표적을 속이는 것입니다.

+0

두 번째 지점에서 펼치려면 페이스 북에서이 작업을 수행하면 페이스 북 링크를 신뢰하는 사람을 대상으로 할 수 있습니다. 또한 스크립트를 통해 사용자가 개인 정보를 공격자에게 보낼 수도 있습니다. – Goose

+0

@Aleander 답변 해 주셔서 감사합니다. 나는 지금 생각을 가지고 있다고 생각한다. –

관련 문제