PHP 漏洞全解(三)-客户端脚本植入
客户端脚本植入(Script Insertion),是指将可以执行的脚本插入到表单、图片、动画或超链
接文字等对象内。当用户打开这些对象后,攻击者所植入的脚本就会被执行,进而开始攻
击。
可以被用作脚本植入的 HTML 标签一般包括以下几种:
1、<script>标签标记的 javascript 和 vbscript 等页面脚本程序。在<script>标签内可以指定 js
程序代码,也可以在 src 属性内指定 js 文件的 URL 路径
2、<object>标签标记的对象。这些对象是 java applet、多媒体文件和 ActiveX 控件等。通常在
data 属性内指定对象的 URL 路径
3、<embed>标签标记的对象。这些对象是多媒体文件,例如:swf 文件。通常在 src 属性内指
定对象的 URL 路径
4、<applet>标签标记的对象。这些对象是 java applet,通常在 codebase 属性内指定对象的
URL 路径
5、<form>标签标记的对象。通常在 action 属性内指定要处理表单数据的 web 应用程序的
URL 路径