0

クライアントの古いコードを見て、彼は使用しています

<form action="<?php echo $_SERVER['PHP_SELF']; ?>" />

XSSの対象なのかなと思っていたのですが、やってみると:

  • form.php"><script>alert('xss');</script>=> Apache から 404 NOT FOUND
  • form.php/"><script>alert('xss');</script>=> 404 アプリから

通常の使用のために、URL で ?action=specific_page も使用することを指定する必要があります。

それは、XSSを使用PHP_SELFできないということですか、それとも間違った方法で試しているということですか?

4

1 に答える 1

4

フォームがform.phpスクリプトにある場合は、ブラウザーで URL を使用してアクセスして、http://yoursite.com/form.php/"><script>alert('XSS')</script>インジェクションに対して脆弱かどうかを確認してください。

何もしない場合、少なくともこの特定のファイルについては、構成によってこれが防止されます。

(もちろん、htmlspecialchars($_SERVER['SCRIPT_NAME'])とにかく次のようなものを使用する必要があります。)

于 2012-11-06T09:40:09.573 に答える