Warning: file_get_contents(/data/phpspider/zhask/data//catemap/8/svg/2.json): failed to open stream: No such file or directory in /data/phpspider/zhask/libs/function.php on line 167

Warning: Invalid argument supplied for foreach() in /data/phpspider/zhask/libs/tag.function.php on line 1116

Notice: Undefined index: in /data/phpspider/zhask/libs/function.php on line 180

Warning: array_chunk() expects parameter 1 to be array, null given in /data/phpspider/zhask/libs/function.php on line 181
使用$#服务器[';PHP#u SELF';]时的PHP XSS命令_Php_Xss - Fatal编程技术网
Fatal编程技术网
  • php/
  • 使用$#服务器[';PHP#u SELF';]时的PHP XSS命令

使用$#服务器[';PHP#u SELF';]时的PHP XSS命令

php

使用$#服务器[';PHP#u SELF';]时的PHP XSS命令,php,xss,Php,Xss,可以找到原始示例: 摘要 表单元素: <form method="post" action="<?php echo $_SERVER["PHP_SELF"];?>"> 虽然我有这个想法,但我不明白为什么 这甚至在不存在web地址时也有效。不应该 那个人得到了一个错误页面,说网站 找不到?就像我们不小心打错了字一样 地址,什么都没有 即使它有效,除了“黑客”之外,还有其他人吗 如果更改未保存在 服务器?我的意思是,是黑客手动输入了恶意代码 代码,并由他的浏览器下载受影响的

可以找到原始示例:

摘要

表单元素:

<form method="post" action="<?php echo $_SERVER["PHP_SELF"];?>">
虽然我有这个想法,但我不明白为什么

  • 这甚至在不存在web地址时也有效。不应该 那个人得到了一个错误页面,说网站 找不到?就像我们不小心打错了字一样 地址,什么都没有
  • 即使它有效,除了“黑客”之外,还有其他人吗 如果更改未保存在 服务器?我的意思是,是黑客手动输入了恶意代码 代码,并由他的浏览器下载受影响的网页 页面
    • 我一定是把一些概念弄错了。请纠正我。谢谢

    这甚至在不存在web地址时也有效。那个人不应该得到某种错误页面,说找不到网站吗?就像我们不小心输入了一个错误的地址却什么也没有得到一样

    如果web服务器配置为在脚本路径之后允许额外数据,则不允许。在Apache中,这是由配置的

    即使它可以工作,如果更改没有保存在服务器上的php文件中,除了“黑客”自己之外,其他人会受到什么影响?我的意思是,是黑客手动输入了恶意代码,是他的浏览器下载了受影响的网页

    XSS攻击需要攻击者让目标访问此URL,以便恶意负载在目标浏览器中运行。一种方法是欺骗目标点击恶意链接。

    第二点,如果facebook这样做,那么任何信任facebook链接的人都可能成为目标。此外,该脚本还可能导致用户向攻击者发送个人信息。@Aleander感谢您的回答。我想我现在明白了。 
    <form method="post" action="test_form.php/"><script>alert('hacked')</script>