1、图像的插入
今天我们看的丰富多彩的网页,都是因为有了图像的作用。在HTML页面中可以插入图像,网页常用的图像格式有JPEG和GIF这两种格式。插入图片的标记只有一个,那就是<img>标记,一般的格式为:<img src="filename">。src属性在<img>标记中是必须赋值的,这个值可以是图像文件的路径及文件名,同时也可以是网址。除此之外,<img>标记中比较常用的属性还有。
①alt="" 作用为设置当前鼠标移动到图像上时显示的文本。
②width="" 作用为设置图像的宽度。
③height="" 作用为设置图像的高度。
例如:<img src="image/1.gif" border="0" src="/uploads/allimg/140625/11541U642-0.gif" />
(图2)
在 在"完整Url地址"的输入框中输入跨站代码<script>alert("cmd")</SCRIPT>,提交之后发现并没有出现跨站的效果,如图3所示为输入跨站代码后返回的数据,从这里说明了系统并没有过滤我们的数据,这是一个经验问题,各位黑友要记住了。
(图3)
以后凡是写入跨站代码后,从返回的数据上如果还出现一些字符,如显示存在<script>关键字啊,那一般是存在跨站漏洞,如果还不放心,可以查看源代码,利用记事本的查找功能查找跨站关键字。 上面没有过滤跨站代码,那为什么又没出现跨站呢?这是因为跨站代码被HTML中的引号、<、>给封闭了,针对这种情况,首先是查看返回客户端的代码,查找到跨站的代码,这里我们是查找关键字cmd就可以了,下面是查找到的关键性源代码:<td width=198 height=32>头像<img id=face src="<script>alert("cmd")</SCRIPT>" width=32 height=32>**</td>我们可以看到我们的跨站代码没有过滤,而是被<和>及单引号给封锁了,所以我们只要避开那些字符就可以了,让<script>alert("cmd")</SCRIPT>单独存在于代码中。这个还是很容易实现的,输入代码"><script>alert("cmd")</SCRIPT><"之后,那么整条语句就变成了<img id=face src=""<script>alert("cmd")</SCRIPT><"" width=32 height=32>这样就实现了跨站效果,如图4所示。
(图4)
新闻热点
疑难解答
