با سلام
دوستان من واسم یه سوال پیش اومده نمیتونم حلاجیش کنم
سوال در مورد حملات xss هست
فرض کنید ما یه فرم داریم به شکل زیر
<body>
<?php
if (isset($_GET['par1']) && !empty($_GET['par1']))
{
echo $_GET['par1']."<br>";
}
if (isset($_GET['par2'])&& !empty($_GET['par2']))
{
echo $_GET['par2']."<br>";
}
if (isset($_GET['par3']) && !empty($_GET['par3']))
{
echo $_GET['par3']."<br>";
}
?>
<form action="<?php echo $_SERVER['PHP_SELF'];?> ?>" method="get" >
input 1: <input type="text" name="par1">
<br>
input 2: <input type="text" name="par2">
<br>
input 3: <input type="text" name="par3">
<input type="submit" value="send">
</form>
</body>
حالا هکر ما میاد و در تکس باکس کد جاوا اسکریپت مثل زیر یا هر کدی دیگه ای تزریق میکنه
<script>alert('hi');</script>
خوب این چه ربطی یا خطری واسه کاربر بوجود میاره
هر چی که وارد کنه رو سیستم خودش اجرا میشه
این alert یا هر کدی را فقط خود کاربر میبینه . چه خطر امنیتی داره؟؟؟
یا اینکه ما در قسمت اکشن کد زیر بدون استفاده از htmlentities نوشتیم ، این روش بدون استفاده از htmlentities چه خطری برای ما ایجاد میکنه
action="<?php echo $_SERVER['PHP_SELF'];?>
من این حمله xss رو اصلا نمیفهمم
میشه یکی خوب توضیح بده
- - , .
برنامه نویس...
ما را در سایت برنامه نویس دنبال می کنید
برچسب : نویسنده : محمد رضا جوادیان programers بازدید : 150 تاريخ : سه شنبه 4 اسفند 1394 ساعت: 23:05