[閒聊] [XSS!] >> 世運會網站發現XSS弱點
看到板標忍不住去看一看世運網站長怎樣
然後手癢把某頁的 ?id=XXX 數字改成
?id="><script>alert(1234)</script>
結果真的 XSSed 了!
echo $_POST['id']
echo $_GET['id']
很多人都會做這樣的事吧,包括我曾經也是
都不判斷一下就直接 echo 或送給 mysql_query()
很容易被 XSS 和 SQL inj.
如果 id 欄位只接受整數,可以改成
$id = (int)$_POST['id'];
echo $id;
以上只是方式之一,給大家參考 :)
----
大家不要去做壞事哦 :P
有沒有好心的人寫信給公視,fix 一下問題
--
※ 發信站: 批踢踢實業坊(ptt.cc)
◆ From: 140.112.250.220
推
07/21 16:57, , 1F
07/21 16:57, 1F
※ 編輯: PHP5 來自: 140.112.250.220 (07/21 17:11)
推
07/21 17:25, , 2F
07/21 17:25, 2F
推
07/21 18:13, , 3F
07/21 18:13, 3F
推
07/21 18:15, , 4F
07/21 18:15, 4F
→
07/21 18:16, , 5F
07/21 18:16, 5F
推
07/21 18:22, , 6F
07/21 18:22, 6F
推
07/21 18:44, , 7F
07/21 18:44, 7F
推
07/21 19:07, , 8F
07/21 19:07, 8F
→
07/21 19:08, , 9F
07/21 19:08, 9F
推
07/21 20:10, , 10F
07/21 20:10, 10F
推
07/21 20:17, , 11F
07/21 20:17, 11F
推
07/21 20:18, , 12F
07/21 20:18, 12F
→
07/21 20:18, , 13F
07/21 20:18, 13F
推
07/21 20:21, , 14F
07/21 20:21, 14F
推
07/21 20:32, , 15F
07/21 20:32, 15F
推
07/21 20:36, , 16F
07/21 20:36, 16F
→
07/21 20:37, , 17F
07/21 20:37, 17F
推
07/21 22:02, , 18F
07/21 22:02, 18F
推
07/21 22:08, , 19F
07/21 22:08, 19F
→
07/21 22:21, , 20F
07/21 22:21, 20F
推
07/21 22:32, , 21F
07/21 22:32, 21F
推
07/21 22:38, , 22F
07/21 22:38, 22F
推
07/21 22:46, , 23F
07/21 22:46, 23F
推
07/22 00:38, , 24F
07/22 00:38, 24F
推
07/22 00:47, , 25F
07/22 00:47, 25F
推
07/22 00:52, , 26F
07/22 00:52, 26F
推
07/22 00:55, , 27F
07/22 00:55, 27F
推
07/22 00:58, , 28F
07/22 00:58, 28F
推
07/22 02:27, , 29F
07/22 02:27, 29F
推
07/22 02:48, , 30F
07/22 02:48, 30F
推
07/22 07:41, , 31F
07/22 07:41, 31F
推
07/22 09:13, , 32F
07/22 09:13, 32F
→
07/22 09:14, , 33F
07/22 09:14, 33F
推
07/22 09:35, , 34F
07/22 09:35, 34F
推
07/22 13:45, , 35F
07/22 13:45, 35F
推
07/22 17:26, , 36F
07/22 17:26, 36F
推
07/22 19:12, , 37F
07/22 19:12, 37F
推
07/22 19:32, , 38F
07/22 19:32, 38F