论坛: 网站建设 标题: 留言板漏洞........ 复制本贴地址    
作者: zhangyun [zhangyun]    论坛用户   登录
随着INTERNET的飞速发展,在网上占有一席之地是每个公司乃至个人的迫切愿望。尤其是交互式的网页更是吸引着每一个来访者,所以大家都喜欢在自己的网页上搞个留言板的东西,有水平低的就申请一个,有水平高的就自己编一个CGI程序。但不知各位知道否其漏洞实在是太多。
    首先我们来谈一谈留言板CGI程序的原理,这样才能更好的掌握下面的东西。

    CGI是这样工作的,它把用户(来访者〕输入的留言变为一个变量,然后把这个变量插入到显示留言的HTM文件里,当然用户输入的是一些文本,如要在HTM文件里显示就要符合HTM的语言标准,所以在编写CGI程序时,编程人员会在里面输入特定的一些HTM语言标准。请看下面以常用的免费留言板GUESTBOOK为列。

    设定用户输入文本为变量A ,在每次插入HTM文件时同时插入头尾HTM语法词。如:<font>用户输入的变量A</font>(当它插入到HTM文件时就显示了用户文本〕

    但是我们如果采用敝屏的方法时,就能做我们想干的一切事。

    方法如下 在我们输入时打上</font>这里你可以打上所有你知道的HTM语言<font>(前后</font><font>用来敝屏,一起输入〕

这时插入HTM文件里的就是如下的东西

</font><font>你的输入一定要用HTM标准</font><font>

    如你想在留言本里显示你的GIF图片,可以这样输入请您留言: **********************************************************

* </font><p><a href="http://网页链接位置">

* <img src="http:///GIF图片的位置/green.gif" width="235"

* height="77" alt="要显示的字"></a></p><font>

* * * * * * * * * * * ******************************************

      一旦我们敝屏之后就可以在他人的留言板上做一切事,甚至你可以输入一段JAVA SCRIPT 让其它来访留言板的人不断的打开新的浏然器窗口。这样做的话他(她〕的留言板就给你炸了,还是不要这样做,损人不利己。

        有些CGI会加上一些条件语句如IF...... 当它发现你输入的有HTM语法时会报错,如"广州网易"提供的留言板。当然要敝屏这个IF也很容意,大家动动脑子吧!以后有空我再把它写出来。别忘了到我们的讨论区去发表你的高见。

地主 发表时间: 04-01-02 06:34

回复: Aoming [aoming]   版主   登录
其实这些东西对现在的留言本来说,几乎都在程序中过滤了。也就只需要把所有"<"和">"转换掉就行了

B1层 发表时间: 04-01-02 09:51

论坛: 网站建设

20CN网络安全小组版权所有
Copyright © 2000-2010 20CN Security Group. All Rights Reserved.
论坛程序编写:NetDemon

粤ICP备05087286号