導航:首頁 > 編程語言 > xss跨站測試代碼大全

xss跨站測試代碼大全

發布時間:2025-07-22 00:45:56

㈠ 什麼是phpinfo xss跨站腳本攻擊漏洞

php是一款被廣泛使用的編程語言,可以被嵌套在html里用做web程序開發。phpinfo()是用來顯示當前php環境的一個函數,許多站點和程序都會將phpinfo放在自己的站點上或者在程序里顯示,但是phpinfo里存在一些安全問題,導致精心構造數據就可以產生一個跨站腳本漏洞,可以被用來進行攻擊。

漏洞成因: phpinfo頁面對輸入的參數都做了詳細的過濾,但是沒有對輸出的進行charset的指定,而在一些瀏覽器里如IE7里,你可以讓它自動選擇編碼或者通過一個iframe頁面給它指定編碼,這樣就可以饒過phpinfo的過濾而產生一個跨站腳本漏洞。
漏洞來源: http://www.80sec.com/release/phpinfo-xss.txt
漏洞利用: 利用代碼如下:

<html>
<head>
<META HTTP-EQUIV="CONTENT-TYPE" CONTENT="text/html; charset=UTF-7">
</head>
<body>
<iframe src="http://www.80sec.com/phpinfo.php?+ADw-SCRIPT+AD4-alert(document.domain);+ADw-/SCRIPT+AD4-=1">

以上代碼在IE7+php 5.2.6測試成功。phpinfo頁面的xss甚至比其他頁面更加危險,因為如果有phpinfo的存在,惡意攻擊者可以利用phpinfo的輸出bypass如httponly和一些基礎認證。
漏洞影響: 影響所有版本的php和瀏覽器IE7
漏洞修補: 建議暫時刪除站點的phpinfo頁面避免被人利用。

閱讀全文

與xss跨站測試代碼大全相關的資料

熱點內容
cf網路老掉線 瀏覽:506
java寫文件相對路徑 瀏覽:94
java枚舉數據類型 瀏覽:248
ps指定配置文件的步驟 瀏覽:724
蘋果怎麼更新app需要驗證 瀏覽:653
creo20怎麼導入自己的配置文件 瀏覽:440
iphone打開文件裡面什麼都沒有 瀏覽:178
ps怎麼打開ai格式的文件 瀏覽:293
順豐文件袋尺寸是多少厘米 瀏覽:792
光貓網路如何穩定 瀏覽:591
什麼叫把數據集橫向劃分 瀏覽:275
vba創建excel文件 瀏覽:687
華為榮耀8隱藏設置密碼 瀏覽:744
恢復出廠設置之後怎麼下載app 瀏覽:351
js設置audio循環播放 瀏覽:800
蘋果手機用其它數據線彈屏怎麼辦 瀏覽:626
編程類網站有哪些內容 瀏覽:112
用vba列印pdf文件內容 瀏覽:129
網購在什麼網站買放心 瀏覽:790
網路數據採集爬蟲技術有哪些 瀏覽:5

友情鏈接