→ reflynet:感謝y大..順便請問一下,為何你可以抓到後半段的資料@@?06/06 22:54
→ reflynet:我終於trace完其他的部分,這個程式到最後(main.js)還會毀06/06 22:55
→ reflynet:屍滅跡,還進SQL刪資料咧~06/06 22:55
^^^^^^^^^^^^^
是被取得密碼進資料庫刪嗎?
就所知道的部份..光XSS應該還是無法動到資料庫吧?
沒有防SQL injection?
最近才開始注意到XSS這個詞..
這兩天翻資料看到的攻擊方式有
利用沒有過瀘HTML TAG的INPUT或其它動作
把使用者輸入會輸出在頁面的資料加料
做了把cookie會送到其它網站的連結
看前面的前輩trace出來的code
似乎是用js建立個iframe
然後iframe裡面的js會把主頁面的<A href="..">都加料.
還有其它的攻擊方式嗎?
--
※ 發信站: 批踢踢實業坊(ptt.cc)
◆ From: 118.160.142.121
推 ybite:因為他application可以用AJAX的形式操控XML... 06/07 02:03
→ ybite:然後用管理員登入進去,就可以用JS遙控程式的AJAX來下SQL... 06/07 02:04
→ ybite: ↑操控"SQL" 06/07 02:04
→ JYHuang:還是有點不解...@.@ 06/07 02:29
→ JYHuang:何以見得 怎麼知道AJAX 的Server端的程式 06/07 02:30
→ JYHuang:好去控制SQL的下法 06/07 02:31
→ JoeHorn:拿帳號密碼就好了...... 06/07 03:13
推 JeffMcBride:還是需要server端驗證做後盾 06/07 12:11