攻击方法:
1.在自己地浏览器上发现xss漏洞,产生恶意行为
2.将输入命令后的url复制
3.发给其他用户,产生相同的攻击效果
在网页html中,出现Javascript语句即出现xss漏洞
源码分析:
低级代码:PHP代码中对xss语句没有任何过滤,可直接输入<script>alert(1234)</script>
源码分析:
中级代码:PHP代码中对xss语句有大小写有过滤,当xss语句为小写时,代码不能执行,所以可以将代码改为大写: <sCript>alert(/xss/)</Script>
源码分析:
高级代码:对敏感词汇script里面的字母(无论大小写)都会过滤,所以要换xss语句:<img src=1 "alert(/xss/)">
源码分析:
终极代码:htmlchars函数讲输入的语句进行html转码,任何xss语句都无法执行了 。