XiaodiSec day014 Learn Note 小迪渗透学习笔记

XiaodiSec day014 Learn Note 小迪渗透学习笔记

记录得比较凌乱,不尽详细

day 14

输入输出类内容

php全局变量 server

mysql插入语法insert

搜索文件,提交表单

使用Php连接数据库,使用sql语句中的like 进行模糊查询

使用php查询内容,使用echo将内容打印到页面上

php中的连接符号是.,可以将php, html标签或引号冲突的语句连接起来

在搜索框中输入javascript 代码,若网站执行,就可能可以利用

在执行内容中输入,可能在页面中有显示,类似于你的搜索的'...'如下, 就可以在搜索框中输入可执行的js代码,在页面显示中查看执行结果

今天的视频已经把留言板做好了

存储型与反射型xss

index点击搜索执行了输入的js代码

blog将js代码存储到数据库,从数据库读取并渲染到页面时,执行了输入的js代码,只要刷新,就会执行

在留言板,搜索框等位置可能存在

php中的server用来获取访问信息

server['httprefer']能获取请求的来源

Ip请求中的x-forwarded

相关推荐
Pandaconda28 分钟前
【Golang 面试题】每日 3 题(四十三)
开发语言·经验分享·笔记·后端·面试·golang·go
Erik_LinX1 小时前
day1-->day7| 机器学习(吴恩达)学习笔记
笔记·学习·机器学习
魔理沙偷走了BUG1 小时前
【Linux笔记】Day5
linux·笔记
索然无味io1 小时前
组件框架漏洞
前端·笔记·学习·安全·web安全·网络安全·前端框架
珊瑚里的鱼1 小时前
【单链表算法实战】解锁数据结构核心谜题——环形链表
数据结构·学习·程序人生·算法·leetcode·链表·visual studio
林涧泣1 小时前
图的矩阵表示
学习·线性代数·矩阵
chimchim662 小时前
【starrocks学习】之catalog
学习
Jackilina_Stone2 小时前
【论文阅读笔记】“万字”关于深度学习的图像和视频阴影检测、去除和生成的综述笔记 | 2024.9.3
论文阅读·人工智能·笔记·深度学习·ai
梦云澜2 小时前
论文阅读(二):理解概率图模型的两个要点:关于推理和学习的知识
论文阅读·深度学习·学习
Ronin-Lotus3 小时前
上位机知识篇---CMake
c语言·c++·笔记·学习·跨平台·编译·cmake