XiaodiSec day014 Learn Note 小迪渗透学习笔记

XiaodiSec day014 Learn Note 小迪渗透学习笔记

记录得比较凌乱,不尽详细

day 14

输入输出类内容

php全局变量 server

mysql插入语法insert

搜索文件,提交表单

使用Php连接数据库,使用sql语句中的like 进行模糊查询

使用php查询内容,使用echo将内容打印到页面上

php中的连接符号是.,可以将php, html标签或引号冲突的语句连接起来

在搜索框中输入javascript 代码,若网站执行,就可能可以利用

在执行内容中输入,可能在页面中有显示,类似于你的搜索的'...'如下, 就可以在搜索框中输入可执行的js代码,在页面显示中查看执行结果

今天的视频已经把留言板做好了

存储型与反射型xss

index点击搜索执行了输入的js代码

blog将js代码存储到数据库,从数据库读取并渲染到页面时,执行了输入的js代码,只要刷新,就会执行

在留言板,搜索框等位置可能存在

php中的server用来获取访问信息

server['httprefer']能获取请求的来源

Ip请求中的x-forwarded

相关推荐
守护者17021 分钟前
JAVA学习-练习试用Java实现“使用Arrays.toString方法将数组转换为字符串并打印出来”
java·学习
学会沉淀。30 分钟前
Docker学习
java·开发语言·学习
Rinai_R44 分钟前
计算机组成原理的学习笔记(7)-- 存储器·其二 容量扩展/多模块存储系统/外存/Cache/虚拟存储器
笔记·物联网·学习
吃着火锅x唱着歌44 分钟前
PHP7内核剖析 学习笔记 第四章 内存管理(1)
android·笔记·学习
ragnwang1 小时前
C++ Eigen常见的高级用法 [学习笔记]
c++·笔记·学习
胡西风_foxww1 小时前
【es6复习笔记】rest参数(7)
前端·笔记·es6·参数·rest
Web阿成2 小时前
3.学习webpack配置 尝试打包ts文件
前端·学习·webpack·typescript
雷神乐乐3 小时前
Spring学习(一)——Sping-XML
java·学习·spring
李雨非-19期-河北工职大3 小时前
思考: 与人交际
学习