因此,我为我工作中的营销部门制作了所有这些表单的目标网页。他们传递的其中一个字段是我在处理完毕后重定向到的网址 - 感谢页面。
最近,我发现了一个如下所示的网址:
http://www.oursite.com/folder/thank-you.php?thankyou=free-guide&adgroup=<?php echo nfpa-c ?>&reference=<?php echo ?>
除了表单创建者愚蠢之外,这还有什么意义吗?我的页面在安全性和跨站点脚本等方面犯了很大的错误。这有什么影响?有没有合理的理由这样做?
EDIT / UPDATE: 我的登录页面是在ASP.NET中。它提到的错误可能是跨站点脚本。
答案 0 :(得分:3)
<?php echo nfpa-c ?
我不认为这是海报是愚蠢的 - 这看起来更像是一个传出的表单没有正确设置(例如.html页面中使用的PHP指令没有得到解析PHP解释器。)
查看原始表单并查看其源代码。
答案 1 :(得分:1)
没有正当理由在这样的网址上传递PHP代码。事实上,这将是一个远程执行代码漏洞,它就像说“Check Mate”一样糟糕。我会确保你没有运行这个代码,虽然它可能是一个bug,因为在php中他们会使用eval("echo 'nfpa-c'");,你不能像这样评估php标签,所以它可能是未经测试的代码。