CGI的漏洞

隨著INTERNET的飛速發(fā)展在網(wǎng)上占有一席之地是每個(gè)公司乃至個(gè)人的迫切愿望。由其是交互式的網(wǎng)頁更是吸引著每一個(gè)來訪者，所以大家都喜歡在自己的網(wǎng)頁上搞個(gè)留言板的東西，有水平低的就申請一個(gè)，有水平高的就自己編一個(gè)CGI程序。但不知個(gè)位知道否其漏洞實(shí)在是太多。
   首先我們來談一談留言板CGI程序的原理，這樣才能更好的掌握下面的東西。CGI是這樣工作的，它把用戶（來訪者〕輸入的留言變?yōu)橐粋€(gè)變量，然后把這個(gè)變量插入到顯示留言的HTM文
2 w: N9 V9 h+ x8 m件里，當(dāng)然用戶輸入的是一些文本，如要在HTM文件里顯示就要符合HTM的語言標(biāo)準(zhǔn)，所以在編寫CGI程序時(shí)，編程人員會在里面輸入特定的一些HTM語言標(biāo)準(zhǔn)。請看下面以常用的免費(fèi)留言板GUESTBOOK為列。

設(shè)定用戶輸入文本為變量A
; u3 C# G* P  H1 _2 v: ^# [2 @在每次插入HTM文件時(shí)同時(shí)插入頭尾HTM語法詞如用戶輸入的變量A (當(dāng)它插入到HTM文件時(shí)就顯示了用戶文本〕
9 f6 _7 e) b# [4 s6 x+ I8 a
) L. \$ ~+ V8 m1 p0 R. H但是我們?nèi)绻捎帽制恋姆椒〞r(shí)，就能做我們想干的一切事。
方法如下：
/ {. O* @. a( Z+ Q- A: J$ m) k在我們輸入時(shí)打上這里你可以打上所有你知道的HTM語言(前后用來敝屏，一起輸入〕
- a0 _' g# ~. k, I
這時(shí)插入HTM文件里的就是如下的東西你的輸入一定要用HTM標(biāo)準(zhǔn)
' K  N# c% f6 m: s0 A: x
( {, x3 L9 `6 A# n% Y如你想在留言本里顯示你的GIF圖片，可以這樣輸入
$ h$ f: c" o% l6 t
$ `& J7 B7 l$ V' k; K請您留言：
***********************************************************
+ \8 l2 u9 ^9 ?0 V/ [  a3 H5 [*
4 a1 }0 x. R# x# f# L/ \9 A
+ I0 |- w, I( ?+ O! L2 T*
* * height="77" alt="要顯示的字">
  H. R: L9 [7 G  ^, Y+ Y5 c; P
; a3 o% w' K. Z0 l2 R: U*
* *
* *
" b% I7 B7 p8 z. A* *
* *
* *
' I! Z! J9 ^. h$ J$ W. v3 g***********************************************************
. B/ j+ ]% p" H3 Y# A2 r& i
1 d9 a0 `  [! p4 v& l3 [
一旦我們敝屏之后就可以在他人的留言板上做一切事，甚至你可以輸入一段JAVA SCRIPT 讓其它來訪留言板的人不斷的打開新的瀏然器窗口。這樣做的話他（她〕的留言板就給你炸了，還是不要這樣做，損人不利己。
) B. D) ]$ w- J: k1 p3 d& k$ d; k8 F; b
有些CGI會加上一些條件語句如IF......當(dāng)它發(fā)現(xiàn)你輸入的有HTM語法時(shí)會報(bào)錯(cuò)，如"廣州網(wǎng)易"提供的留言板當(dāng)然要敝屏這個(gè)IF也很容意，大家動(dòng)動(dòng)腦子吧！
* J, p5 y8 d- z以后有空我再把它寫出來。
; \: r' Y2 L: g% r