信安实践2-增加zoobars个数

如何增加Zoobars的个数?

1、利用标签
在Profile中填入img标签后,其他用户在查看该用户Zoobars时,浏览器会自动解析img标签,而不是作为文字输出。这里的img标签内容是,图片来源:小伙伴的服务器中的 99.JPG,图片位置为相对位置relative,图片尺寸。将图片从原始的Profile中的位置平移到zoobars后面遮盖掉原本的数字。


这里可以看到,Profile中填入的信息,以及只有10个zoobars。
信安实践2-增加zoobars个数_第1张图片
这一张图是其他用户查看时显示的数字。
信安实践2-增加zoobars个数_第2张图片

2、使用SQL注入

将以下代码填入Profile中,自己的Zoobars将会实际变为1000。

’, Zoobars = 1000, Profile = 'Hello

原理:在提交Profile一栏时,使用的语句大概如下。其中空白区域本应该填入的是Profile框中用户填入的内容,但是这里先填入一个单引号 ’ ,与第一个单引号对应,然后可以再写入设置Zoobars的语句Zoobars = 1000。之后再将Profile设置为Hello,注意Hello后不能加单引号,留给sql语句中的单引号。

UPDATE Person SET Profile='          '

这就是最后提交给服务器的完整语句,由预设语句与我们填入的语句拼接得到。

UPDATE Person SET Profile='’, Zoobars = 1000, Profile = 'Hello'

3、使用XSS

在Profile中插入JavaScript语句,更改页面中的zoobars数字。如果浏览器禁用了JavaScript等关键字,可以使用html的编码方式对要输入的语句进行编码,即可绕过关键词禁用。

你可能感兴趣的:(信安实践,html,javascript,jquery)