主题:  我也要请教版主一个问题。请解释祥细点。

linrui0291
职务:普通成员
等级:1
金币:0.0
发贴:6
注册:2001/12/4 8:11:26
#12002/12/24 21:31:21
版主说过,asp中“脚本<%%>”与“标签<>”混编成留言簿的话,则client可以在ie文本框中发送“<%%>”到服务器攻击服务务器主机。
那它是怎么实现的呢?我怎么试也攻击不了主机。服务器总是把<%%>直接返回给client的ie。
请问怎么才能让服务器运行client文本框中送过来的“<%%>”语句?



缺缺
职务:管理员
等级:8
金币:41.0
发贴:9620
注册:2004/1/14 19:14:47
#22003/1/7 13:25:25
这个要看服务器程序的设置了.一般 的程序都不可能留下这个漏洞了,除非他故意支持html.

一般的程序比如留言本或者论坛都会使用ubb或者其他方法屏蔽代码的