黑客入侵实例 记对Discuz论坛的入侵

核心提示： 图 2小提示：因保存到本地的头像页面，采用的提交地址是相对路径，黑客入侵实例 记对Discuz论坛的入侵(2)，所以这里需要补全该站点的网址，否则在提交页面的同时，才能自动转义其格式，而不要使用记事本的形式修改相关数值，会显示找不到路径的404错误，如果已经填补了网址路径

图 2

小提示：因保存到本地的头像页面，采用的提交地址是相对路径，所以这里需要补全该站点的网址。否则在提交页面的同时，会显示找不到路径的404错误。如果已经填补了网址路径，并且在本地也成功的将头像提交给了该网站，大家就可以大胆的说明此网站存在头像跨站的漏洞，接下来就可以进行跨站入侵了。

4.提交头像成功以后，使用DreamWeaver网页设计软件将本地提交的页面打开，然后单击头像一的Radio空间，把选定址处改为“images/avatars/02.gif"＞＜script＞alert("曲靖提醒：贵站含有头像跨站漏洞，请采取相关的防御措施!")＜/script＞”的代码字符。在单击“文件”菜单，选择“保存”选项，即可将修改的控件，成功保存。然后在双击打开该页面，选择头像一的单选框，并单击下方“提交”按钮。程序回显会提示：修改成功！同时刷新此页面，弹出笔者所建立的警告对话框（如图3），最后在找个热门的帖子回复一下，只要当用户打开含有笔者的帖子时，都会弹出如图3的警告对话框！

图 3

小提示：在 “控制面板首页”标签处，查看一下网页代码。只要大家稍有留意，便不难发现调用＜img src=http://tech.ddvip.com/2006-11/"www.gu**y.com.cn/images/avatars/02.gif" width="83" height="94" border="0"＞的图片地址。调用代码是＜img src=“$avatars”字符,所以我们可以构造一个Radio的控件值，来修改的选定值。需要用到DreamWeaver网页设计软件，或其他的网页制作软件来修改，才能自动转义其格式。而不要使用记事本的形式修改相关数值，否则会导致整体内容错乱。