1。画像挿入
今日私たちが見ているカラフルなWebページはすべて、画像の効果があるためです。画像はHTMLページに挿入できます。 Webページで一般的に使用される画像形式は、JPEGとGIFです。画像を挿入するタグは1つだけです。つまり、<img>タグ、一般的な形式は<img src = filename>です。 SRC属性には、<img>タグに値を割り当てる必要があります。この値は、画像ファイルのパスとファイル名である可能性があり、URLになることもあります。さらに、<img>タグにはより一般的に使用される属性があります。
①alt =関数は、現在のマウスが画像に移動したときに表示されるテキストを設定することです。
width =は、画像の幅を設定するために使用されます。
Height =は、画像の高さを設定するために使用されます。
例:<img src = image/1.gif src = "/uploads/allimg/140625/11541u642-0.gif"/>
(図2)
完全なURLアドレスの入力ボックスに、Cross-Site Code <script> alert(cmd)</script>を入力します。提出した後、クロスサイト効果はないことがわかりました。図3に示すように、データはクロスサイトコードを入力した後に返されました。このことから、システムがデータをフィルタリングしないことが示されています。これは経験的な質問であり、すべての悪い友達はそれを覚えておくべきです。
(図3)
将来的には、<script>キーワードが表示されるなど、クロスサイトコードを作成した後に一部の文字が返されたデータに表示される場合、通常、クロスサイトの脆弱性があります。安心していない場合は、ソースコードを表示し、メモ帳の検索関数を使用してクロスサイトのキーワードを見つけることができます。上記のクロスサイトコードフィルタリングはないので、なぜクロスサイトがないのですか?これは、クロスサイトコードがhtmlで<、および>によってブロックされているためです。この場合、最初のことは、クライアントに戻るコードを確認し、クロスサイトコードを見つけることです。ここでは、キーワードCMDを検索する必要があります。見つかったキーソースコードは次のとおりです。コードのみ。これはまだ非常に簡単に実装できます。コード> <script> alert(cmd)</script> <を入力した後、ステートメント全体が<img id = face src = <script> alert(cmd)</script> <width = 32 height = 32>になり、図4に示すようにクロスサイト効果を達成します。
(図4)