PHP 漏洞全解(三)-客户端脚本植入

 

客户端脚本植入(Script Insertion)，是指将可以执行的脚本插入到表单、图片、动画或超链

接文字等对象内。当用户打开这些对象后，攻击者所植入的脚本就会被执行，进而开始攻

击。

可以被用作脚本植入的 HTML 标签一般包括以下几种:

1、<script>标签标记的 javascript 和 vbscript 等页面脚本程序。在<script>标签内可以指定 js

程序代码，也可以在 src 属性内指定 js 文件的 URL 路径

2、<object>标签标记的对象。这些对象是 java applet、多媒体文件和 ActiveX 控件等。通常在

data 属性内指定对象的 URL 路径

3、<embed>标签标记的对象。这些对象是多媒体文件，例如:swf 文件。通常在 src 属性内指

定对象的 URL 路径

4、<applet>标签标记的对象。这些对象是 java applet，通常在 codebase 属性内指定对象的

URL 路径

5、<form>标签标记的对象。通常在 action 属性内指定要处理表单数据的 web 应用程序的

URL 路径