注:本文已发表于200503期黑客X档案转载请注明出处
------------BEGIN---------------
在Web设计中处理表单提交数据是客户端向SERVER传递数据主要思路方法表单数据提交思路方法有两种Post思路方法和Get思路方法当使用Post思路方法时数据由标准
输入设备读入当使用Get思路方法时数据由CGI变量QUERY_STRING传递给表单数据处理当Post思路方法般不会在服务器上留下痕迹具体实现过程这里我就不多说
有兴趣朋友可以去翻阅其他资料不管是ASP还是PHPCGI表单提交作用大同小异所以这里仅以ASP为例
.利用表单本地提交突破入侵限制
既然表单是客户端和服务端重要数据传递思路方法的那么它安全性就难免会出现问题
1:上传非法文件
某同学录popwindowupload1.asp客户端代码如下:
很明显这个上传文件在客户端利用SCRIPT限制了上传类型虽然用SCRIPT可以减轻ASP负载但象大部分好方面样也有它坏面如果其只是在客户端做限制并在服务端限制上传类型或禁止外部提交那么它并不能阻止我们上传禁止上传ASPCERPHP等文件只要我们在本地构造个表单也能能轻松上传这些文件
构造表单主要代码如下:
.............
最新评论