xss攻击
ss攻击全称跨站脚本攻击,xss是一种在web应用中的计算机安全漏洞,它允许用户注入特殊的代码,从而达到攻击的目的,例如,盗取cookie,破坏网页结构,重定向等。
XSS攻击的核心就是靠HTML < script >标签或元素属性来执行Javascript脚本。
评论功能,最简单的输入script alter(666)(博客园做了处理,会直接把script脚本过滤掉)
之前测试我朋友的博客网站,就攻击成功了,
其实tp中参数配置可以过滤的
// 默认全局过滤方法 用逗号分隔多个(全局配置)
'default_filter' => 'htmlentities',
$data=input('post.','','htmlentities'); //局部配置
之前报名英语四六级的时候,意外发现了一个bug,四六级位置满了,通过修改前端代码,把按钮禁止disabled去掉,然后在浏览器控制台写一个js定时器,每隔0.5s点击这个提交按钮,
他会每隔0.5s提交,虽然他这个后台加了判断,但是没添加封禁功能,那么我可以通过这个js代码去刷这个考试名额。