使用$#服务器[';PHP#u SELF';]时的PHP XSS命令
可以找到原始示例: 摘要 表单元素:使用$#服务器[';PHP#u SELF';]时的PHP XSS命令,php,xss,Php,Xss,可以找到原始示例: 摘要 表单元素: <form method="post" action="<?php echo $_SERVER["PHP_SELF"];?>"> 虽然我有这个想法,但我不明白为什么 这甚至在不存在web地址时也有效。不应该 那个人得到了一个错误页面,说网站 找不到?就像我们不小心打错了字一样 地址,什么都没有 即使它有效,除了“黑客”之外,还有其他人吗 如果更改未保存在 服务器?我的意思是,是黑客手动输入了恶意代码 代码,并由他的浏览器下载受影响的
<form method="post" action="<?php echo $_SERVER["PHP_SELF"];?>">
虽然我有这个想法,但我不明白为什么
XSS攻击需要攻击者让目标访问此URL,以便恶意负载在目标浏览器中运行。一种方法是欺骗目标点击恶意链接。第二点,如果facebook这样做,那么任何信任facebook链接的人都可能成为目标。此外,该脚本还可能导致用户向攻击者发送个人信息。@Aleander感谢您的回答。我想我现在明白了。
<form method="post" action="test_form.php/"><script>alert('hacked')</script>