xss漏洞

变量比较   首先进行类型转换 

‘qqq’ == 0               ==>  true                   'qqq'与整形比较  要先转化为整形 0

"" == false              ===>true                     “‘转换为boolen值

1、反射型,恶意代码附加在url上面

2、持久型,网站的留言,评论列表等用户交互区域

<form action="">xss
    <input type="text" name="username" value="<?php echo $_GET['username']; ?>">   

// 输入为  "><script>alert('222')</script

    <input type="submit" name="sub" value="sub">
</form>

<?php
if($_GET['sub']) {
    echo $_GET['username'];
}

?>

HTTP_UITL::setCookie($key, $value, $expire) {

只会被浏览器获取,不会被javascript获取

}

 

输入过滤    <srip<script>t>

posted @ 2014-09-12 07:29  agang_19  阅读(230)  评论(0编辑  收藏  举报