1. 首頁
  2. 問答
  3. 這是一個安全隱患

這是一個安全隱患

2013-09-28 93 views
0

Im相當新的PHP,並開始在我的應用程序測試的幾件事情,並注意到這對我的網址這是一個安全隱患

當我通過甲基苯丙胺其http://localhost:8888/project/info.php

但是,如果我進入我的網站會增加/'%25至URL字符串我的CSS打破了所有togehter

EG的末尾:http://localhost:8888/project/info.php/'%25

所以這是一個安全隱患?我沒有使用$_GET['']等來獲取某個查詢或某些東西,它只是一個純文本信息頁面。但是如果我添加部分/'%25它打破了CSS。

在此先感謝

來源

2013-09-28 kevin ols

+0

如果它打破了CSS,你有HTML差然後 –

+0

爲什麼它被標記爲sql,你說它是純HTML頁面? –

+0

沒有足夠的信息,重寫的網址是什麼。如果你正在引用一個CSS文件,我認爲你正在做當前URL的相對路徑導致中斷?檢查你是否無法通過http:// localhost:8888/project/info.php /../../../等遍歷文檔根目錄 – OBV

回答

0

它最有可能是因爲你正在增加額外的斜線。嘗試用/來代替/'%25進行確認。 如果是這樣,比你正在加載你的資產(CSS)相對於當前的網址。 是這樣的:<link href="script"> 嘗試將其更改爲絕對URL,這樣的事情:<link href="/proper/location/script"> 但我只是猜測,你沒有提供足夠的信息(鏈接或代碼)

來源

2013-09-28 16:53:52 gondo

0

如果您不讀取GET或POST值,那麼你不應該擔心。 XSS和SQL注入都需要使用頁面上的輸入字段分別向服務器發送代碼和SQL語句。

來源

2013-09-28 16:48:30

+0

對不起,但這是不準確的。 uri本身可以是xss的來源。所以可以標題值。接下來是基於DOM的XSS,其中違規輸入永遠不會觸及服務器。 – Erlend

相關問題

 相關問題