我被分配来测试另一个组刚刚创建的网站。我发现了
它容易发生XSS攻击。但是,它并没有真正抛出
当我在PHP中使用JS时出现错误或任何有效信息:i.e. var someVar = <?php echo 'a'; ?>
alert(someVar);
这导致我假设一个易受XSS攻击的站点可能不一定允许php代码
要注射。我对么?如果没有,我上面发布的细分是否有任何内容?
而且,我没有通过GET变量尝试php注入的原因是我
除了
之外,不使用查询数据库 page.php?id =''形式的任何内容注册和登录部分,即通过POST。
答案 0 :(得分:2)
这导致我假设一个易受XSS攻击的站点可能不一定允许注入php代码。我是对的吗?
是的,当然 XSS攻击与PHP代码注入无关。这都是关于JS代码注入的
答案 1 :(得分:1)
JavaScript在客户端运行,Php在服务器端运行。你无法使用JavaScript在客户端执行php。点击wiki查看更多信息。
您可以尝试做的是从任何网站输入字段发布包含在标记中的一些js代码,如果它的值在服务器端没有验证并直接转到数据库并在您看到之后显示在网站页面的某处正如其他客户端所做的那样,js代码正在执行,所以js代码可以在客户端计算机上做一些有趣的事情