编程语言phpinfo的跨站脚本漏洞的成因和解决方法
漏洞说明:
php是一款被广泛使用的编程语言,可以被嵌套在html里用做web程序开发。phpinfo()是用来显示当前php环境的一个函数,许多站点和程序都会将phpinfo放在自己的站点上或者在程序里显示,但是phpinfo里存在一些安全问题,导致精心构造数据就可以产生一个跨站脚本漏洞,可以被用来进行攻击。
漏洞成因: phpinfo页面对输入的参数都做了详细的过滤,但是没有对输出的进行charset的指定,而在一些浏览器里如IE7里,你可以让它自动选择编码或者通过一个iframe页面给它指定编码,这样就可以饶过phpinfo的过滤而产生一个跨站脚本漏洞。
漏洞来源: http://www.80sec.com/release/phpinfo-xss.txt
漏洞利用: 利用代码如下:
以上代码在IE7 php 5.2.6测试成功。phpinfo页面的xss甚至比其他页面更加危险,因为如果有phpinfo的存在,恶意攻击者可以利用phpinfo的输出bypass如httponly和一些基础认证。
漏洞影响: 影响所有版本的php和浏览器IE7
漏洞修补: 建议暂时删除站点的phpinfo页面避免被人利用。
有哪些破解oracle数据库密码的方法?如何破解oracle数据库的密码?
要连接远程的 Oracle 数据库,需要知道 SID,用户名, 密码,当然还有最重要的 IP 地址。SID 如果被管理 员修改的话,可以利用 sidguess 来进行破解,速度非常的快,至于成功与否,就要看你的字典配置
详情2018-01-16 16:00:01责编:llp 来源:驱动管家局域网共享文件的软件:大势至局域网共享文件系统
大势至局域网共享文件权限管理系统专门用于管理和监控服务器共享文件,可以给不同用户、不同文件设置不同访问权限,包括新建、复制、修改、删除、剪切、重命名、另存、打印等,还可以详细记录用户对共享文件的操
详情2018-01-05 12:26:52责编:llp 来源:驱动管家samb的密码认证方式 为什么samb认证会泄露密码?
下面是SMB的密码认证方式。 WINDOWS的139口的访问过程,箭头表示数据方向: 1 客户端
详情2018-01-06 16:20:14责编:llp 来源:驱动管家什么是防火墙?防火墙有哪些类别?
随着INTERNET的迅猛发展,现在每家每户都拥有计算机并且都连接上了INTERNET,在网络给我们带来了方便的同时,互联网的弊端也慢慢显露出来,不少人在联网时会被人有意或者无意的攻击,从而导致自己存储在计算机上
详情2018-01-07 10:25:54责编:llp 来源:驱动管家3g上网卡哪个好?3g上网卡怎么用?
最近一段时间内,3G已经开始大规模的试商用了,不过许多用户拿到的并不是3G手机,而是3G上网终端。相对于使用手机3G上网而言,用笔记本电脑配合3G上网卡上网,速度上会更快一些,就以我目前所拿到的华为3G上网卡
详情2018-01-18 19:33:45责编:llp 来源:驱动管家global.asa木马怎么清理?为什么会出现global.asa木马?
最近客户的多个页面中了远程加载一些代码的页面,主要是利用MSXML2 serverXMLHTTP来加载一些代码并执行,下面是具体的解决方法。解决办法:1、用青云团队开发的网站木马清理专家全面扫描服务器上的网站,网站木
详情2018-01-20 17:42:01责编:llp 来源:驱动管家预防电脑中毒的方法介绍,让你的电脑不再中毒
电脑一定要安装杀毒软件使用才安全么?下面小编就教你如何让你的电脑不安装任何杀毒软件也可以非常的安全使用。1 少用搜索去搜索软件,因为放木马的人都是去下载网站买一些广告位,然后做些下载按钮,你点击下载
详情2018-01-05 10:32:05责编:llp 来源:驱动管家怎么保护dns服务器?dns服务器的十种保护方法
本文收集总结了几点保护DNS服务器的有效方法,感兴趣的小伙伴们可以参考一下。
详情2018-01-04 17:09:39责编:llp 来源:驱动管家2016年木马病毒查杀软件的排行榜
现在的电脑杀毒软件种类很多,在选择的时候,很多人并不知道如何去进行选,按照什么标准来进行选择,其实在选择杀毒软件首先要看杀毒能力,其次可以根据杀毒软件的功能来进行判定排名,下面就和大家一起来分析一
详情2018-01-05 13:58:41责编:llp 来源:驱动管家cmos的密码怎么破解?cmos破解密码的方法
1 简单的DOS下DEBUG破解程序:用软盘启动进入DOS下,执行Debug程序(你没有,那得去拷贝一个啊)1)debugo 70 2e (回车)o 71 00 (回车)o 70 2f (回车)o 71 00 (回车)然后重新启动,就一进入C
详情2018-01-08 15:03:45责编:llp 来源:驱动管家
- 飞信群发怎么用?飞信群发在哪儿发?
- 驾考宝典怎么查看扣分标准?驾考宝典新交规怎么扣分的?
- 小米手机恢复出厂设置后发现无法开机是什么原因
- 关于锂电池首次充电的这些误区你都触犯了吗
- 不知道jar文件怎么打开的可以看这里
- 如何用Windows命令来轻松删除u盘乱码文件
- 为什么要安装电脑主板挡板?怎么安装主板挡板
- iphone6大陆什么时候上市?9月26日内地上市是假消息
- 如何解决sim卡被锁的问题?sim卡被锁要立即关机
- 笔记本支持无线局域网吗?怎么查看笔记本是否安装WLAN无线网卡?
- 电脑该怎么清灰?电脑清理灰尘的步骤
- mcafee企业版8.8怎么设置规则防范病毒?
- 网站安全扫描工具:zmap怎么进行全网检测?
- 更新NVIDIA驱动后win8.1系统蓝屏了 看看这个解决办法吧
- 千影浏览器有老板键吗?千影浏览器老板键怎么启用?
- 为什么迅雷下载报错?迅雷下载任务出错怎么解决?
- 联想y430p笔记本的性能怎么样?
- 电脑内存检测的功能不会使用的看这里
- thumbs.db是什么文件?thumbs.db文件可以删除吗
- 关于et文件打开的具体方法介绍