问题标签 [code-injection]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
php - 如何避免 PHP 中的反射注入攻击?
我正在编写一个类,它允许您使用 JSON 数据将 HTTP 请求与类实例桥接,而您要桥接的类中没有任何实现。基本上这是它的工作原理:
该类JsonHttpInterface
将检查PATH_INFO
请求并调用该方法,应用任何查询字符串参数作为参数。
http://example.com/the_above.php/getWeather?state="CA"
将转换为
$service->getWeather("CA")
(假设第一个参数的名称是$state
)。
这是找到和调用该方法的方式:
现在我想知道的是:这样一个系统的漏洞是什么。我对错误检查非常宽容,在尝试调用不存在或私有/受保护的方法时依赖 PHP 抛出错误。
- 是否可以欺骗系统?
- 是否可以传入一个无效的方法名,该方法名除了引发错误之外还做其他事情?
- 是否可以引用基类或任何其他类中的方法?
JsonHttpInterface 的完整源代码在这里:http ://blixt.org/js/two-cents.php
c++ - DLL EXE 混合 C++ Windows
我目前正在使用 DLL 注入,并且需要一个可以作为可执行文件和 DLL 的混合二进制文件。我想过可能编写一个 DllMain 和 WinMain 函数,然后将其编译为可执行文件,但我不知道如果我这样做会发生什么。我知道可以通过使用 thinstall 之类的东西或将 dll 提取到临时位置然后从那里开始来组合 dll 和 exe,但我不想弄乱这些东西。所以基本上,是否可以定义一个 WinMain 和 Dll Main 然后将生成的可执行文件用作两者,如果没有,这甚至可能吗?提前致谢!
javascript - 如何根据给定的数字使用 jquery 注入 html 元素?
我正在使用 jquery 来获取父 div 中子元素的计数。
然后使用append()
,我想将 div 元素的数量#slideshow
注入另一个名为.mainImageBrowserTabButtonWrapper
对此的任何帮助将不胜感激。
编辑
我意识到我最初的问题并没有很好地描述我想要什么。
假设我的元素数量#slideshow
为 3。然后我想将 3 个其他 div 注入.mainImageBrowserTabButtonWrapper
javascript - 将 javascript 注入到 javascript 函数中
我有一个奇怪的问题,我需要将一些 javascript 注入另一个 javascript 函数。我正在使用一个已锁定的框架,因此我无法更改现有功能。
我所拥有的是这样的
函数 doSomething(){ ... }...***
我可以操纵 ***(上图)但是我不能更改 doSomething 函数......相反,我需要以某种方式将几行代码注入到 doSomething 代码的末尾。
我需要这样做的原因是自定义框架调用 doSomething() 并且这会导致从服务器返回一个我需要提取的 ID。此 ID 仅在 doSomething 函数中引用,因此除非我向该函数注入代码(除非我错过了某些内容),否则我无法捕获它。
有没有办法做到这一点?
xss - 用 < 和 > 替换 : < 和 > 是否足以防止 XSS 注入?
我想知道这两个标记是否足以防止 XSS 注入<
?>
如果不是,为什么?最好的解决方案是什么?
c# - 带有字符串列表的 SQLite 注入
谁能告诉我在为子句有条件的SQLite
地方构建查询时防止sql注入的方法?WHERE
"myval IN (string_1, ... , string_n)"
我想动态构建带有注释的命令文本并从字符串列表中添加这些注释的参数。有没有更简单的方法 ?
谢谢。
javascript - 这个站点感染脚本是如何工作的?
我的 Joomla!网站多次被黑。不知何故,有人设法将以下垃圾注入到关键的 php 脚本中,但我的意思是不要谈论配置 Joomla。该站点的访问量并不多(有时我担心我可能是该站点的唯一访问者......)并且我不太关心该站点是否可以备份和运行。我最终会处理的。
我的问题是,这些垃圾是如何工作的?我看着它,我只是不明白这如何造成任何伤害?它的作用是尝试下载一个名为 ChangeLog.pdf 的 PDF 文件,该文件感染了木马,打开后会冻结您的 Acrobat 并对您的计算机造成严重破坏。它是怎么做到的,我不知道,我不在乎。但是下面这段脚本是如何调用下载的呢?
ESET已将此代码检测为JS/TrojanDownloader.Agent.NRO 木马
php - 如何使用 Ajax 使用 URL 或其他方法注入特定的 PHP 函数?
我正在从 JS 领域转移到 php 和 Ajax。我过去曾涉足过一些 PHP。我非常感谢 stackoverflow 在帮助我解决基本问题方面提供了多少帮助。
假设我有一个名为#divName
.
我将以下 JS 用于 Ajax。其中一些只是伪代码。
我有我的 fileName.php 文件:
我的目标是,当我执行时getAjaxInfo()
,我可以提取任何我想要的 PHP 函数。
所以让我们说如果我做一个onClick="getAjaxInfo(header)
“它将获得php头函数,将它应用到一个javascript函数,然后将它应用到一个div。
任何帮助,将不胜感激!
php - 这个重定向脚本会打开我的代码注入或远程文件包含吗?
最近我看到一篇关于使用 PHP 脚本重定向附属链接的博客文章。这让我开始思考这个脚本是否安全。我听说使用 $_GET 变量会导致漏洞。
任何建议,将不胜感激。检查输入的字母数字和连字符('-')是否足以防止这种情况发生?
对于此脚本,其中的链接将采用以下形式:
http://www.somesite.com/amazon.php?asin=XXXXXXXXXX
或者
http://www.somesite.com/amazon.php?id=some-keyword
这是amazon.php:
一如既往的感谢!
php - 网站链接注入
我有一个相当静态的网站。它上面有一些表格可以发送联系信息、邮件列表提交等。也许在上传到网站几小时/几天后,我发现主索引页面中有新代码,我没有放在那里,其中包含隐藏的一堆不可见 div 中的链接。
我有以下代码处理从表单发送的变量。
我在索引页面中有以下代码,用一些 Javascript 呈现表单,以便在提交之前对提交的内容进行错误检测。
归根结底,注入超链接的源代码如下: