1. Inserción de imágenes
Las coloridas páginas web que vemos hoy se deben a los efectos de las imágenes. Las imágenes se pueden insertar en páginas HTML. Los formatos de imagen de uso común en las páginas web son JPEG y GIF. Solo hay una etiqueta para insertar la imagen, es decir, la etiqueta <img>, el formato general es: <img src = filename>. Al atributo SRC se le debe asignar un valor en la etiqueta <IMG>. Este valor puede ser la ruta y el nombre del archivo del archivo de imagen, y también puede ser la URL. Además, hay atributos más utilizados en la etiqueta <IMG>.
① Alt = La función es establecer el texto que se muestra cuando el mouse actual se mueve a la imagen.
②Width = se usa para establecer el ancho de la imagen.
③Height = se usa para establecer la altura de la imagen.
Por ejemplo: <img src = image/1.gif src = "/uploads/allimg/140625/11541u642-0.gif"/>
(Figura 2)
Ingrese el código de sitio cruzado <Script> Alert (CMD) </script> en el cuadro de entrada de la dirección URL completa. Después de presentar, se descubrió que no había ningún efecto de sitio cruzado. Como se muestra en la Figura 3, los datos devueltos después de ingresar el código de sitio cruzado. A partir de esto, se muestra que el sistema no filtra nuestros datos. Esta es una pregunta empírica, y todos los malos amigos deberían recordarla.
(Figura 3)
En el futuro, si algunos caracteres aparecen en los datos devueltos después de escribir un código de sitio cruzado, como se muestra la palabra clave <script>, generalmente hay una vulnerabilidad del sitio cruzado. Si no está a gusto, puede ver el código fuente y usar la función de búsqueda del bloc de notas para encontrar palabras clave del sitio cruzado. No se filtran el código cruzado arriba, entonces, ¿por qué no hay sitios cruzados? Esto se debe a que el código de sitio cruzado está bloqueado por cotizaciones, <, y> en HTML. En este caso, lo primero es verificar el código que regresa al cliente y encontrar el código de sitios cruzados. Aquí solo necesitamos buscar la palabra clave CMD. Aquí está el código fuente clave encontrado: <td width = 198 height = 32> avatar <img id = face src = <script> alert (cmd) </script> width = 32 Height = 32> ** </td> Podemos ver que nuestro código de sitio cruzado no está filtrado, pero está bloqueado por <y> y solo cotizaciones, por lo que solo tenemos que evitar esos caracteres y permitimos <script> alert (cmd). solo. Esto sigue siendo muy fácil de implementar. Después de ingresar el código> <script> alerta (cmd) </script> <, toda la declaración se convierte en <img id = face src = <script> alert (cmd) </script> <width = 32 height = 32>, logrando así el efecto de sitio transversal, como se muestra en la Figura 4.
(Figura 4)