所以我在做(尝试)一些黑客工作,并对xss感兴趣
echo $_GET['cmd'];
假设上面的代码是我易受攻击的网站页面。单行php代码
我尝试了page?cmd=<script>alert('hi');</script>
已执行警报对话框
现在我需要处理php。我知道页面已经加载,即使我通过php函数,它也将在源代码中,但不会执行。有没有办法让它执行?
更新:
我要传递的代码是
<script>alert('Hit');document.write('<?php echo "HI"');</script>
“ Hi”警报进入 并且还编写了php代码,但是就像打开源代码一样
<html><head></head>
<body>
<script>
alert('Hit');
document.write('<?php echo "HI"');
</script>
<!--?php echo "HI"; ?-->
</body>
</html>