1. 이미지 삽입
오늘날 우리가 보는 다채로운 웹 페이지는 이미지의 영향 때문입니다. HTML 페이지에 이미지를 삽입 할 수 있습니다. 웹 페이지에서 일반적으로 사용되는 이미지 형식은 JPEG 및 GIF입니다. 그림을 삽입하는 태그는 단 하나뿐입니다. 즉, <Img> 태그, 일반 형식은 다음과 같습니다. SRC 속성에는 <Img> 태그에 값이 할당되어야합니다. 이 값은 이미지 파일의 경로 및 파일 이름 일 수 있으며 URL 일 수도 있습니다. 또한 <Img> 태그에는보다 일반적으로 사용되는 속성이 있습니다.
① alt = function은 현재 마우스가 이미지로 이동할 때 표시된 텍스트를 설정하는 것입니다.
②width =는 이미지의 너비를 설정하는 데 사용됩니다.
Height =는 이미지의 높이를 설정하는 데 사용됩니다.
예 : <img src = image/1.gif src = "/uploads/allimg/140625/11541u642-0.gif"/>
(그림 2)
전체 URL 주소의 입력 상자에 크로스 사이트 코드 <CMD (script> alert) </script>을 입력하십시오. 제출 후, 크로스 사이트 효과가 없다는 것이 밝혀졌습니다. 도 3에 도시 된 바와 같이, 데이터는 크로스 사이트 코드를 입력 한 후 반환되었다. 이것으로부터 시스템은 데이터를 필터링하지 않는 것으로 나타났습니다. 이것은 경험적 질문이며, 모든 나쁜 친구들은 그것을 기억해야합니다.
(그림 3)
앞으로 <cript> 키워드와 같은 크로스 사이트 코드를 작성한 후 일부 문자가 반환 된 데이터에 나타나면 일반적으로 크로스 사이트 취약점이 있습니다. 편안하지 않은 경우 소스 코드를보고 메모장 검색 기능을 사용하여 크로스 사이트 키워드를 찾을 수 있습니다. 위에는 크로스 사이트 코드 필터가 없으므로 왜 크로스 사이트가 없습니까? 이는 크로스 사이트 코드가 HTML에서 인용문, <및>에 의해 차단되기 때문입니다. 이 경우 첫 번째는 클라이언트로 돌아가는 코드를 확인하고 크로스 사이트 코드를 찾는 것입니다. 여기서는 키워드 CMD를 검색하면됩니다. 다음은 찾은 주요 소스 코드입니다. <td width = 198 height = 32> avatar <img id = face src = <cascript> alert (cmd) </script> width = 32 height = 32> ** </td> 우리는 우리의 사이드 코드가 필터링되지 않았지만 단일 인용문에 의해 차단 될 수 있다는 것을 알 수 있습니다. <cript> alert (cmd) </script>는 코드에만 존재합니다. 이것은 여전히 구현하기가 매우 쉽습니다. 코드를 입력 한 후> <cript> alert (cmd) </script> <후에 전체 문장은 <img id = face src = <crapt> alert (cmd) </script> <width = 32 height = 32>가됩니다.
(그림 4)