admin 管理员组文章数量: 1184232
2023年12月18日发(作者:estelle法语名字寓意)
iframe漏洞的应用
iframe漏洞的应用
iframe是语句里的一个元素,Iframe标记的使用格式是:
src:文件的路径,既可是HTML文件,也可以是文本、ASP等;
width、height:"画中画"区域的宽与高;
scrolling:当SRC的指定的HTML文件在指定的区域不显不完时,滚动选项,如果设置为NO,则不出现滚动条;如为Auto:则自动出现滚动条;如为Yes,则显示;
FrameBorder:区域边框的宽度,为了让“画中画“与邻近的内容相融合,常设置为0。
这样在网页里会显示一个框架,框架的内容就是这个src。问题是我们如果在src=""将引号的内容换成别的文件,那么我们能利用它具体能做什么?
1、做网页用呀。干什么?谁扔砖头。将URL换成不就是将网易网站变成你网页里一个小窗口了?有画中画效果呢。]
2、说到重点了,可以读本地文件。假如你女朋友有封情书放成这样c:情书.txt。电脑又封锁c:,看不到着急呀。写这样一个脚本然后保存成htm文件运行后不就看到情书了,呀气死了,是写给lcx的。再想一下如果要运行c:/应当怎样写?
3、如果要让这个html文件运行exe文件呢?重点中的重点呀。直接运行src=*.exe是下载呀,不是运行。我弄一个木马,别人不买帐,先要下载才执行,能不能让它直接执行呢?聪明人就想出办法了。将src=*.exe换成src=*.eml就可以了。*.eml是什么东西?是outlook邮件格式的附件呀。微软又有漏洞了。如果eml附件是音乐格式的话就可以直接播放了。换句话说,我们用outlook写一封信,附件里带上那个木马.exe文件,然后另存为*.eml文件,将这个附件的格式换成音乐格式....那不就可以了?我就写了一个,放在这里让大家看看。
From: xxxx
Subject: ***
Mime-Version: 1.0
Content-Type: multipart/mixed; (省去一大节,主要让大家看看这一行)
content-type指明了这个附件的类型。如果我将这个类型改为Content-Type:
audio/x-wav;那么这个附件就会让ie5.5或ie5.0误以为是一个音乐格式的文档,从而会自动下载而不提示的就执行了。至于网页木马我做了一个具体例子,放在/test128/1/。这个网页会直接显示你c:数据。你可以查看这页的源文件和用蚂蚁下载我利用的eml文件做进一步研究。
IFRAME标签的使用
设定围绕图文框的边缘宽度
FRAMEBODER
设置边框是不否为3维(0=否,1=是)
HEIGHT,WIDTH
设质边框的宽度和高度
SCROLLING
是否有滚动条(YES,NO,AUTO)
SRC
指定IFRAME调用的文件或图片(HTML,HTM,GIF,JPEG,JPG,PNG,TXT,*.*)
IFRAME标签的使用
一、Iframe标记的使用
提起Iframe,可能你早已将之扔到“被遗忘的角落”了,不过,说起其兄弟Frame就不会陌生了。Frame标记即帧标记,我们所说的多帧结构就是在一个浏览器窗口中显示多个HTML文件。现在,我们遇到一种很现实的情况:如有一个教程,是一节一节地上,每页末尾做一个“上一节“、“下一节“的链接,除了每节教程内容不同之外,页面其它部分内容都是相同的,如果一页一页地做笨页面,这似乎太让人厌烦了,这时突发奇想,如果有一种方法让页面其它地方不变,只将教程做成一页一页的内容页,不含其它内容,在点击上下翻页链接时,只改变教程内容部分,其它保持不变,这样,一是省时,另则以后如教程有个三长两短的变动,也很方便,不致于牵一发而动全军了;更重要的是将那些广告Banner、栏目列表、导航等几乎每页的都有的东西只下载一次后就不再下载了。
Iframe标记,又叫浮动帧标记,你可以用它将一个HTML文档嵌入在一个HTML中显示。它不同于Frame标记最大的特征即这个标记所引用的HTML文件不是与另外的HTML文件相互独立显示,而是可以直接嵌入在一个HTML文件中,与这个HTML文件内容相互融合,成为一个整体,另外,还可以多次在一个页面内显示同一内容,而不必重复写内容,一个形象的比喻即“画中画“电视。
现在我们谈一下Iframe标记的使用。
Iframe标记的使用格式是:
src:文件的路径,既可是HTML文件,也可以是文本、ASP等;
width、height:"画中画"区域的宽与高;
scrolling:当SRC的指定的HTML文件在指定的区域不显不完时,滚动选项,如果设置为NO,则不出现滚动条;如为Auto:则自动出现滚动条;如为Yes,则显示;
FrameBorder:区域边框的宽度,为了让“画中画“与邻近的内容相融合,常设置为0。
比如:
二、父窗体与浮动帧之间的相互控制 在脚本语言与对象层次中,包含Iframe的窗口我们称之为父窗体,而浮动帧则称为子窗体,弄清这两者的关系很重要,因为要在父窗体中访问子窗体或相反都必须清楚对象层次,才能通过程序来访问并控制窗体。
1、在父窗体中访问并控制子窗体中的对象
在父窗体中,Iframe即子窗体是document对象的一个子对象,可以直接在脚本中访问子窗体中的对象。
现在就有一个问题,即,我们怎样来控制这个Iframe,这里需要讲一下Iframe对象。当我们给这个标记设置了ID 属性后,就可通过文档对象模型DOM对Iframe所含的HTML进行一系列控制。
比如在里嵌入文件,并控制里一些标记对象:
文件代码为:
hello,my boy
如我们要改变ID号为myH1的H1标记里的文字为hello,my dear,则可用:
ext="hello,my dear"(其中,document可省)
在文件中,Iframe标记对象所指的子窗体与一般的DHTML对
象模型一致,对对象访问控制方式一样,就不再赘述。
2、在子窗体中访问并控制父窗体中对象
在子窗体中我们可以通过其parent即父(双亲)对象来访问父窗口中的对象。
如:
hello,my wife
如果要在中访问ID号为myH2中的标题文字并将之改为"hello,my friend",我们就可以这样写:
ext="hello,my friend"
这里parent对象就代表当前窗体(所在窗体),要在子窗体中访问父窗体中的对象,无一例外都通过parent对象来进行。
Iframe虽然内嵌在另一个HTML文件中,但它保持相对的独立,是一个“独立王国“哟,在单一HTML中的特性同样适用于浮动帧中。
试想一下,通过Iframe标记,我们可将那些不变的内容以Iframe来表示,这样,不必重复写相同的内容,这有点象程序设计中的过程或函数,减省了多少繁琐的手工劳动!另外,至关重要的是,它使页面的修改更为可行,因为,不必因为版式的调整而修改每个页面,你只需修改一个父窗体的版式即可了。
有一点要注意,Nestscape浏览器不支持Iframe标记,但在时下IE的天下,这似乎也无大碍,广泛采用Iframe标记,既为自己(网站)着了想,又为网友节省了网费,何乐而不为?
例子:
2:::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::
用了iframe后 发现滚动条不漂亮 想用2个图片来代替↑↓
应该怎么实现呢?
回答:
用下列代码替换网页的
| hidden ;border-style:dashed;border-width: 1px,1px,1px,1px;"> 文字 文字 文字 文字
| HEIGHT="20" onmouseover="scroll(-1)" onmouseout="scroll(0)" onmousedown="scroll(-3)" BORDER="0" ALT="按下鼠标速度会更快!"> |
onmouseover="scroll(1)" onmouseout="scroll(0)" onmousedown="scroll(3)" BORDER="0" WIDTH="15" HEIGHT="21" ALT="按下鼠标速度会更快!"> |
版权声明:本文标题:iframe漏洞的应用 内容由网友自发贡献,该文观点仅代表作者本人, 转载请联系作者并注明出处:http://www.roclinux.cn/p/1702846581a433052.html, 本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容,一经查实,本站将立刻删除。
发表评论