Hiện tại em đã cài Apache 2.2.11, MySql 5.0.77, PHP 5.2.9 trên OS Ubuntu 8.10 và muốn demo lỗi XSS nhưng gặp một vấn đề sau:
Em có tạo một file xss.php như sau:
Code:
<html>
<form name="input" action="xss.php" method="get">
Your name: <input type="text" name="name">
<input type="submit" value="OK">
</form>
</html>
<?php
$name=$_GET["name"];
echo "Xin chao $name";
?>
File này rõ ràng là mắc lỗi XSS. Khi em vào trình duyệt và gõ:
Code:
http://localhost/xss.php?name=<script>alert(123)</script>
thì script được thực thi. Nhưng khi thay bằng:
Code:
http://localhost/xss.php?name=<script>alert("XSS")</script>
thì không có hiện tượng xảy ra. Nguyên nhân là do khi nhập vào các kí tự như " hay ' thì thấy nó tự thêm kí tự \ vào trước và in ra là Xin chao \", Xin chao \'.
File xss.php này khi chạy trên OS Windows thì dính XSS như bình thường, kể cả:
Code:
http://localhost/xss.php?name=<script>alert("XSS")</script>
thì script vẫn được thực thi.
Vấn đề ở đây là em không hiểu tại sao trong Apache khi mình nhập " hay ' thì nó lại tự thêm vào thành \" , \' .
Cái này do một module nào đó của Apache hay vì cái gì em không rõ, mong mọi người giải thích giùm em. Apache vừa cài xong là em test cái này luôn, chưa cài mod_security hay bất kì module nào khác.
Em xin cảm ơn !
![[Rule]](/hvaonline/templates/viet/images/icon_mini_rule.gif "[Rule]"){kind=icon}
![[Home]](/hvaonline/templates/viet/images/icon_mini_groups.gif "[Home]"){kind=icon}
![[Portal]](/hvaonline/templates/viet/images/icon_mini_portal.gif "[Portal]"){kind=icon}
![[Members]](/hvaonline/templates/viet/images/icon_mini_members.gif "[Members]"){kind=icon}
![[Statistics]](/hvaonline/templates/viet/images/icon_mini_stats.gif "[Statistics]"){kind=icon}
![[Search]](/hvaonline/templates/viet/images/icon_mini_search.gif "[Search]"){kind=icon}
![[Reading Room]](/hvaonline/templates/viet/images/icon_mini_book.gif "[Reading Room]"){kind=icon}
![[Register]](/hvaonline/templates/viet/images/icon_mini_register.gif "[Register]"){kind=icon}
Register![[Login]](/hvaonline/templates/viet/images/icon_mini_login.gif "[Login]"){kind=icon}
Login [
Thảo luận thâm nhập
![[Avatar]](/hvaonline/images/avatar/8d08fc37cf6b17a40f691325f2fa9d38.jpeg "[Avatar]")
![[Minus]](/hvaonline/templates/viet/images/minus.gif "[Minus]")
![[Plus]](/hvaonline/templates/viet/images/plus.gif "[Plus]")
![[Profile]](/hvaonline/templates/viet/images/en_US/icon_profile.gif "[Profile]"){kind=icon}
![[PM]](/hvaonline/templates/viet/images/en_US/icon_pm.gif "[PM]"){kind=icon}
![[Up]](/hvaonline/templates/viet/images/en_US/icon_up.gif "[Up]"){kind=icon}
![[Print Copy]](/hvaonline/templates/viet/images/en_US/icon_print.gif "[Print Copy]"){kind=icon}
![[Avatar]](/hvaonline/images/avatar/20eb6260a8b1fb10f92427991cfd19a7.jpg "[Avatar]")
![[digg]](/hvaonline/templates/viet/images/digg.gif "[digg]")
![[delicious]](/hvaonline/templates/viet/images/delicious.gif "[delicious]")
![[google]](/hvaonline/templates/viet/images/google.gif "[google]")
![[yahoo]](/hvaonline/templates/viet/images/yahoo.gif "[yahoo]")
![[technorati]](/hvaonline/templates/viet/images/technorati.gif "[technorati]")
![[reddit]](/hvaonline/templates/viet/images/reddit.gif "[reddit]")
![[stumbleupon]](/hvaonline/templates/viet/images/stumbleupon.gif "[stumbleupon]")