CGI的漏洞

隨著INTERNET的飛速發(fā)展在網(wǎng)上占有一席之地是每個公司乃至個人的迫切愿望。由其是交互式的網(wǎng)頁更是吸引著每一個來訪者，所以大家都喜歡在自己的網(wǎng)頁上搞個留言板的東西，有水平低的就申請一個，有水平高的就自己編一個CGI程序。但不知個位知道否其漏洞實在是太多。
   首先我們來談一談留言板CGI程序的原理，這樣才能更好的掌握下面的東西。CGI是這樣工作的，它把用戶（來訪者〕輸入的留言變?yōu)橐粋€變量，然后把這個變量插入到顯示留言的HTM文
件里，當(dāng)然用戶輸入的是一些文本，如要在HTM文件里顯示就要符合HTM的語言標(biāo)準(zhǔn)，所以在編寫CGI程序時，編程人員會在里面輸入特定的一些HTM語言標(biāo)準(zhǔn)。請看下面以常用的免費留言板GUESTBOOK為列。
. L7 h4 a/ R/ b. _8 S  \) M/ V
設(shè)定用戶輸入文本為變量A
) Z; _0 |* x8 r- r& i9 X在每次插入HTM文件時同時插入頭尾HTM語法詞如用戶輸入的變量A (當(dāng)它插入到HTM文件時就顯示了用戶文本〕
4 A& }) l. I( H! K6 D! m7 K
* k( N1 f2 _4 Y2 r但是我們?nèi)绻捎帽制恋姆椒〞r，就能做我們想干的一切事。
方法如下：
在我們輸入時打上這里你可以打上所有你知道的HTM語言(前后用來敝屏，一起輸入〕

這時插入HTM文件里的就是如下的東西你的輸入一定要用HTM標(biāo)準(zhǔn)

如你想在留言本里顯示你的GIF圖片，可以這樣輸入
, @6 Z2 Y& U' m( u! J9 |
請您留言：
; l# ^- G$ b' x% O0 B***********************************************************
*
* D7 ?! v- K( c$ k
*
* * height="77" alt="要顯示的字">
8 x: ]: X  R% X  p1 \# I  i
0 U' h- }! i, p/ U6 a*
5 R8 b2 j* Y. |- y" ]* *
% L+ C7 h4 W3 P% g0 P2 _" F3 L4 e( y* *
1 _6 q) p' V1 W$ v9 ]9 I9 a1 {* *
  j4 W8 @8 b7 M* O; l1 p* *
* *
' S+ X% l+ O% m2 F" R3 R***********************************************************


' p  ?( S* r" O一旦我們敝屏之后就可以在他人的留言板上做一切事，甚至你可以輸入一段JAVA SCRIPT 讓其它來訪留言板的人不斷的打開新的瀏然器窗口。這樣做的話他（她〕的留言板就給你炸了，還是不要這樣做，損人不利己。

有些CGI會加上一些條件語句如IF......當(dāng)它發(fā)現(xiàn)你輸入的有HTM語法時會報錯，如"廣州網(wǎng)易"提供的留言板當(dāng)然要敝屏這個IF也很容意，大家動動腦子吧！
& J$ i  C' B5 G. H* C以后有空我再把它寫出來。