1. Inserção de imagem
As páginas da web coloridas que olhamos hoje são todas por causa dos efeitos das imagens. As imagens podem ser inseridas nas páginas HTML. Os formatos de imagem comumente usados nas páginas da web são JPEG e GIF. Existe apenas uma tag para inserir a imagem, ou seja, a tag <mg>, o formato geral é: <img src = filename>. O atributo SRC deve receber um valor na tag <MG>. Esse valor pode ser o caminho e o nome do arquivo do arquivo de imagem e também pode ser o URL. Além disso, existem atributos mais usados na tag <mg>.
① alt = função é definir o texto exibido quando o mouse atual se move para a imagem.
②Width = é usado para definir a largura da imagem.
③Eight = é usado para definir a altura da imagem.
Por exemplo: <img src = imagem/1.gif src = "/uploads/allimg/140625/11541u642-0.gif"/>
(Figura 2)
Digite o código de sítio cruzado <Cript> Alert (CMD) </SCRIPT> na caixa de entrada do endereço URL completo. Após o envio, verificou-se que não houve efeito cruzado. Conforme mostrado na Figura 3, os dados retornados após inserir o código cruzado. A partir disso, é mostrado que o sistema não filtra nossos dados. Esta é uma pergunta empírica, e todos os amigos maus devem se lembrar.
(Figura 3)
No futuro, se alguns caracteres aparecerem nos dados retornados após a redação do código entre sites, como a palavra-chave <Script> é exibida, geralmente há uma vulnerabilidade entre sites. Se você não estiver à vontade, poderá visualizar o código-fonte e usar a função de pesquisa do bloco de notas para encontrar palavras-chave entre sites. Não há filtragem de código cruzada acima, então por que não há sites cruzados? Isso ocorre porque o código cruzado é bloqueado por citações, <e> em html. Nesse caso, a primeira coisa é verificar o código que retorna ao cliente e encontrar o código cruzado. Aqui só precisamos procurar a palavra -chave CMD. Here is the key source code found: <td width=198 height=32>Avatar <img id=face src=<script>alert(cmd)</SCRIPT> width=32 height=32>**</td> We can see that our cross-site code is not filtered, but is blocked by < and > and single quotes, so we just need to avoid those characters and let <sCript> alerta (cmd) </sCript> Existe apenas no código. Isso ainda é muito fácil de implementar. Depois de entrar no código> <cript> alerta (cmd) </sCript> <, toda a declaração se torna <img id = face src = <cript> alerta (cmd) </script> <width = 32 altura = 32>, atingindo assim o efeito cruzado, como mostrado na Figura 4.
(Figura 4)