別のグループが作成したばかりの Web サイトをテストするように割り当てられました。私は発見した
XSS 攻撃を受けやすいこと。ただし、実際には投げません
PHP で JS を使用する場合のエラーまたは有効な情報:
i.e. var someVar = <?php echo 'a'; ?>
alert(someVar);
これにより、XSS 攻撃を受けやすいサイトでは、必ずしも php コードが許可されない可能性があると考えるようになりました。
注射する。私は正しいですか?そうでない場合、上に投稿したセグメントに何かありますか?
そして、GET変数を介してphpインジェクションを試していない理由は、私がそうしているためです
データベースにクエリを実行するpage.php?id=''という形式のものは、現在のところ使用しないでください。
POST 経由の登録とログインの部分。
これにより、XSS 攻撃を受けやすいサイトでは、必ずしも PHP コードの挿入が許可されない可能性があると考えるようになりました。私は正しいですか?
はい、もちろん。
XSS 攻撃は、PHP コード インジェクションとは何の関係もありません。すべては JS コード インジェクションに関するものです
JavaScriptはクライアント側で実行され、Phpはサーバー側で実行されます。JavaScriptを使用してクライアント側でphpを実行する方法はありません。wikiで詳細を確認してください。
あなたがしようとすることができるのは、値がサーバー側で検証されておらず、直接dbに移動し、jsコードが実行されているのを確認した後、サイトページのどこかに表示される場合、任意のWebサイト入力フィールドからタグでラップされたjsコードを投稿することです、他のクライアントが行うように、jsコードはクライアントコンピュータでいくつかの面白いことをするかもしれません