欧美bbbwbbbw肥妇,免费乱码人妻系列日韩,一级黄片

Web網(wǎng)絡(luò)安全漏洞分析存儲(chǔ)型XSS攻擊原理

 更新時(shí)間:2021年11月03日 10:18:26   作者:Phanton03167  
這篇文章主要為大家介紹了Web網(wǎng)絡(luò)安全漏洞分析存儲(chǔ)型XSS攻擊原理,有需要的朋友可以借鑒參考下,希望能夠有所幫助,祝大家多多進(jìn)步早日升職加薪

存儲(chǔ)型XSS攻擊

存儲(chǔ)型XSS頁(yè)面實(shí)現(xiàn)的功能是:獲取用戶輸入的留言信息、標(biāo)題和內(nèi)容,然后將標(biāo)題和內(nèi)容插入到數(shù)據(jù)庫(kù)中,并將數(shù)據(jù)庫(kù)的留言信息輸出到頁(yè)面上,如圖71所示。

圖71 輸入留言信息

當(dāng)用戶在標(biāo)題處寫(xiě)入1,內(nèi)容處寫(xiě)入2時(shí),數(shù)據(jù)庫(kù)中的數(shù)據(jù)如圖72所示。

圖72 保存留言信息到數(shù)據(jù)庫(kù)

當(dāng)輸入標(biāo)題為<img src=X οnerrοr=“alert(/xss/)”/>。然后將標(biāo)題輸出到頁(yè)面時(shí),頁(yè)面執(zhí)行了<img src=X οnerrοr=“alert(/xss/)”/>,導(dǎo)致彈出窗口。此時(shí),這里的XSS是持久性的,也就是說(shuō),任何人訪問(wèn)改URL時(shí)都會(huì)彈出一個(gè)顯示“/xss/”的框,如圖73所示。

圖73 存儲(chǔ)型XSS

存儲(chǔ)型XSS代碼分析

在存儲(chǔ)型XSS的PHP代碼中,獲取POST參數(shù)title和參數(shù)content,然后將參數(shù)插入數(shù)據(jù)庫(kù)表XSS中,接下來(lái)通過(guò)select查詢將表XSS中的數(shù)據(jù)查詢出開(kāi),并顯示到頁(yè)面上,代碼如下所示。

<html>
<head>
    <meta http-equiv="Content-Type" content="text/html;charset=utf-8" />
    <title>留言板</title>
</head>
<body>
    <center>
    <h6>輸入留言內(nèi)容</h6>
    <form action="" method="post">
        標(biāo)題:<input type="text" name="title"><br />
        內(nèi)容:<textarea name="content"></textarea><br />
        <input type="submit">
    </form>
    <hr>
    <?php

        $con=mysqli_connect("localhost","root","root","test");
        if (mysqli_connect_errno())
        {
            echo "連接失敗: " . mysqli_connect_error();
        }
        if (isset($_POST['title'])) {
            $result1 = mysqli_query($con,"insert into xss(`title`, `content`) VALUES ('".$_POST['title']."','".$_POST['content']."')");
        }

        $result2 = mysqli_query($con,"select * from xss");
            if (!$result2)
            {
                exit();
            }

        echo "<table border='1'><tr><td>標(biāo)題</td><td>內(nèi)容</td></tr>";
        while($row = mysqli_fetch_array($result2))
        {
            echo "<tr><td>".$row['title'] . "</td><td>" . $row['content']."</td>";
        }
        echo "</table>";
    ?>
    </center>
</body>
</html>

當(dāng)用戶在標(biāo)題處寫(xiě)入<img src=1 οnerrοr=“alert(/xss/)”/>時(shí),數(shù)據(jù)庫(kù)中的數(shù)據(jù)如圖74所示。

圖74 存儲(chǔ)到數(shù)據(jù)庫(kù)中的XSS代碼

當(dāng)將title輸出到頁(yè)面時(shí),同頁(yè)面執(zhí)行了<img src=1 οnerrοr=“alert(/xss/)”/>,導(dǎo)致彈窗。

以上就是Web網(wǎng)絡(luò)安全分析存儲(chǔ)型XSS攻擊原理的詳細(xì)內(nèi)容,更多關(guān)于Web網(wǎng)絡(luò)安全漏洞存儲(chǔ)型XSS攻擊的資料請(qǐng)關(guān)注腳本之家其它相關(guān)文章!

相關(guān)文章

最新評(píng)論