Phpinfo XSS 사이트 간 스크립트 취약점이란 무엇입니까?

Php 는 웹 프로그램 개발을 위해 html 에 중첩될 수 있는 널리 사용되는 프로그래밍 언어입니다. Phpinfo () 는 현재 PHP 환경을 표시하는 함수입니다. 많은 웹 사이트와 프로그램은 자체 웹 사이트나 프로그램에 phpinfo 를 표시합니다. 그러나 phpinfo 에는 몇 가지 보안 문제가 있어 공격에 사용할 수 있는 사이트 간 스크립팅 취약점이 발생합니다.

취약점의 원인: phpinfo 페이지는 입력 매개변수를 상세히 필터링했지만 출력에 대한 문자 세트를 지정하지 않았습니다. IE7 과 같은 일부 브라우저에서는 자동으로 코드를 선택하거나 iframe 페이지를 통해 코드를 할당하여 phpinfo 필터링을 생략하고 사이트 간 스크립트 취약점을 생성할 수 있습니다.

취약점 출처:/릴리즈 /release/phpinfo-xss.txt

활용: 활용 코드는 다음과 같습니다.

& lthtml & gt

& lthead & gt

& ltmeta http-equiv = "content-type" content = "text/html; Charset=UTF-7 ">

& lt/head & gt；;

& ltbody & gt

& ltiframe src="/phpinfo.php? +adw-script+ad4-alert (document.domain); +ADw-/SCRIPT+AD4-= 1 ">

위의 코드는 IE7+php 5.2.6 에서 성공적으로 테스트되었습니다. Phpinfo 페이지의 Xss 는 다른 페이지보다 더 위험합니다. phpinfo 가 존재할 경우 악의적인 공격자는 httponly 와 같은 phpinfo 의 출력 우회 및 몇 가지 기본 인증을 활용할 수 있기 때문입니다.

취약성 영향: 모든 버전의 PHP 및 브라우저 IE7 에 영향을 줍니다.

취약성 수정: 사용되지 않도록 사이트의 phpinfo 페이지를 일시적으로 삭제하는 것이 좋습니다.

上篇: 콜 오브 듀티 10 및 콜 오브 듀티 8 콜 7, 어느 그래픽 카드 요구가 더 높습니까? 下篇: 대행 부기 보통 한 달에 얼마예요