CGI的漏洞

隨著INTERNET的飛速發(fā)展在網(wǎng)上占有一席之地是每個(gè)公司乃至個(gè)人的迫切愿望。由其是交互式的網(wǎng)頁(yè)更是吸引著每一個(gè)來(lái)訪者，所以大家都喜歡在自己的網(wǎng)頁(yè)上搞個(gè)留言板的東西，有水平低的就申請(qǐng)一個(gè)，有水平高的就自己編一個(gè)CGI程序。但不知個(gè)位知道否其漏洞實(shí)在是太多。
' ~+ q! p. n1 i5 d; N8 b   首先我們來(lái)談一談留言板CGI程序的原理，這樣才能更好的掌握下面的東西。CGI是這樣工作的，它把用戶（來(lái)訪者〕輸入的留言變?yōu)橐粋€(gè)變量，然后把這個(gè)變量插入到顯示留言的HTM文
件里，當(dāng)然用戶輸入的是一些文本，如要在HTM文件里顯示就要符合HTM的語(yǔ)言標(biāo)準(zhǔn)，所以在編寫(xiě)CGI程序時(shí)，編程人員會(huì)在里面輸入特定的一些HTM語(yǔ)言標(biāo)準(zhǔn)。請(qǐng)看下面以常用的免費(fèi)留言板GUESTBOOK為列。
0 t% y1 a( z& {( y' }8 y  ~
設(shè)定用戶輸入文本為變量A
% T9 C( y% D& x8 i1 ~* |- b# p3 {/ q在每次插入HTM文件時(shí)同時(shí)插入頭尾HTM語(yǔ)法詞如用戶輸入的變量A (當(dāng)它插入到HTM文件時(shí)就顯示了用戶文本〕

但是我們?nèi)绻捎帽制恋姆椒〞r(shí)，就能做我們想干的一切事。
: D% j1 v. _# m) i& w  A方法如下：
在我們輸入時(shí)打上這里你可以打上所有你知道的HTM語(yǔ)言(前后用來(lái)敝屏，一起輸入〕
: g% f% {  t2 v2 f" k
6 i, @6 Z& X) r這時(shí)插入HTM文件里的就是如下的東西你的輸入一定要用HTM標(biāo)準(zhǔn)

" p" _8 P7 K; r* H如你想在留言本里顯示你的GIF圖片，可以這樣輸入
" [* Z9 U  W+ ]# X
請(qǐng)您留言：
***********************************************************
/ q7 r$ P8 p* `5 q*
+ U7 ?2 b, p( ~" V, T9 M& ~7 X
; v( q% `& G7 K  \*
% n) d8 x& s9 n, w' m$ m* * height="77" alt="要顯示的字">
5 M5 h4 }+ n' G/ f/ b6 {1 a8 K
: [8 D9 G0 j; i3 n; e6 {8 f/ Y*
/ E3 I& y9 M, P( e- m3 i* *
( W, f( I7 n; \1 h5 t  X* *
+ Z) Q7 A  m5 G6 r- s' B6 R% o2 I$ B* *
$ i7 E( G& P" C0 q* *
6 }9 a9 x" c; ^. N4 {# y# G1 d* *
8 e6 C5 q) j0 Q6 P/ F***********************************************************
8 Q2 o, |' b1 H- [0 d/ j
3 N7 @/ V3 H4 k' G* z7 d
一旦我們敝屏之后就可以在他人的留言板上做一切事，甚至你可以輸入一段JAVA SCRIPT 讓其它來(lái)訪留言板的人不斷的打開(kāi)新的瀏然器窗口。這樣做的話他（她〕的留言板就給你炸了，還是不要這樣做，損人不利己。
/ d- S9 }9 u" |& |. [, e+ S
7 Q: o7 u( |0 J7 W& m有些CGI會(huì)加上一些條件語(yǔ)句如IF......當(dāng)它發(fā)現(xiàn)你輸入的有HTM語(yǔ)法時(shí)會(huì)報(bào)錯(cuò)，如"廣州網(wǎng)易"提供的留言板當(dāng)然要敝屏這個(gè)IF也很容意，大家動(dòng)動(dòng)腦子吧！
3 T4 o5 l- s3 |以后有空我再把它寫(xiě)出來(lái)。
& c5 K" O" o( q4 X$ J' V/ l. ^: C1 A