码迷,mamicode.com
首页 > 其他好文 > 详细

xss漏洞

时间:2014-09-12 07:47:43      阅读:226      评论:0      收藏:0      [点我收藏+]

标签:des   blog   http   io   os   java   ar   for   art   

变量比较   首先进行类型转换 

‘qqq’ == 0               ==>  true                   ‘qqq‘与整形比较  要先转化为整形 0

"" == false              ===>true                     “‘转换为boolen值

1、反射型,恶意代码附加在url上面

bubuko.com,布布扣

2、持久型,网站的留言,评论列表等用户交互区域

<form action="">xss
    <input type="text" name="username" value="<?php echo $_GET[‘username‘]; ?>">   

// 输入为  "><script>alert(‘222‘)</script

    <input type="submit" name="sub" value="sub">
</form>

<?php
if($_GET[‘sub‘]) {
    echo $_GET[‘username‘];
}

?>

HTTP_UITL::setCookie($key, $value, $expire) {

只会被浏览器获取,不会被javascript获取

}

 

输入过滤    <srip<script>t>

xss漏洞

标签:des   blog   http   io   os   java   ar   for   art   

原文地址:http://www.cnblogs.com/agang-php/p/3967621.html

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!