用HTML+PHP写一个留言板来进行XSS测试&学习 第三篇(简单的过滤标签功能实现&绕过)
来源:互联网 发布:网络词pc是什么意思啊 编辑:程序博客网 时间:2024/06/14 11:00
这次我们要给前一篇文章写的简易“入库”留言板添加一个功能,实现初级的过滤
留言板代码请看:http://blog.csdn.net/qq_38219257/article/details/69808812
因为是功能示范,暂时就写一个过滤<script>标签的简单方法
这次用到了PHP中的 过滤器
filter_var 期中的参数FILTER_CALLBACK可以自定义数组进行过滤,用户可以自己构造函数,定义过滤规则
function convertScript($string) //自己构建一个函数,以字符串作为形参{return str_replace("<script>", "", $string);//返回值中进行替换操作,将<script> 替换为空} //fwrite($log,filter_var($_POST['user'], FILTER_CALLBACK, array("options"=>"convertScript"))."\r\n");fwrite($log,filter_var($_POST['desc'], FILTER_CALLBACK, array("options"=>"convertScript"))."\r\n")
就我的理解,filter_var后面的 数组进行了关联这一过程,将前面的变量作形参传给options关联的convertscript(),取得返回值进行关联。
把这段代码加到读文件操作的后面即可以达到过滤目的
那又该如何绕过呢?
因为不是循环检测,所以它只会过滤一遍,我们可以构造<scr<script>ipt> 或者大小写混合(甚至在这个例子中全用大写就可以绕过)如 <ScrIpT>。
就是这些思路,没有什么难点,如果有什么错误的地方恳请大家指出。。
下一篇试试宽字节绕过环境的搭建吧,敬请期待。
1 0
- 用HTML+PHP写一个留言板来进行XSS测试&学习 第三篇(简单的过滤标签功能实现&绕过)
- 用HTML+PHP写一个留言板来进行XSS测试&学习 第二篇(POST储存型)
- 用HTML+PHP写一个留言板来进行XSS测试&学习 第一篇(GET反射型)
- 用PHP+MySQL写了一个简单的留言板
- PHP+MySql实现一个简单的留言板
- PHP写的简单留言板
- 一个简单的PHP留言板
- php结合mysql数据库实现简单留言板的功能
- php实现简单的留言板
- 新办法绕过xss过滤-让xss来的更猛烈些吧
- 绕过XSS过滤规则 : Web渗透测试高级XSS教程
- 绕过XSS过滤规则 : Web渗透测试高级XSS教程
- 绕过XSS过滤规则 : Web渗透测试高级XSS教程
- PHP实现留言板功能
- PHP实现留言板功能
- PHP通用的XSS攻击过滤函数,Discuz系统中 防止XSS漏洞攻击,过滤HTML危险标签属性的PHP函数
- php实战:html+php+mysql实现留言板功能
- XSS下的绕过过滤方法
- [BZOJ1026][SCOI2009]windy数
- JVM运行时数据区
- Fragment之添加显示流程源码分析
- excel进阶-数据透视表与透视图学习
- 企业级高并发缓存解决方案,你不得不听的踩坑故事
- 用HTML+PHP写一个留言板来进行XSS测试&学习 第三篇(简单的过滤标签功能实现&绕过)
- Java开发环境的安装
- spring jar包详解
- Leetcode 141/142 (链表题) Linked List Cycle && Linked List Cycle II
- hash 思想 应用于查找
- 前后台数据验证架构源码级解析
- C++中strlen与sizeof处理字符数组和字符指针
- hibernate延迟加载(get和load的区别)
- 企业级软件质量管控