紧急SOS!请问大神,这段代码是什么意思?是不是恶意代码?谢谢


 <div style="display:none;" id="__crond">
    <script type="text/javascript">
        $(document).ready(function () {
            $('#__crond').html(unescape('%3Cimg%20src%3D%22' + G_BASE_URL + '/crond/run/<?php echo TIMESTAMP; ?>%22%20width%3D%221%22%20height%3D%221%22%20/%3E'));
        });
    </script>
</div>

web前端开发 网站安全 安全 php JavaScript


share
片仓小次郎 9 years, 6 months ago

Answers


 <img src="G_BASE_URL/crond/run/TIMESTAMP/" width="1" height="1" />

其中 G_BASE_URL javascript 里的变量,推测应该是类似 http://www.example.com/ TIMESTAMP php 里的一个变量,应该是当前时间戳,推测可能是 20150416 这样的字串,如果这样拼出来的话,会是像下面这样: http://www.example.com/crond/run/20150416 width="1" height="1"

具体是不是恶意的,你看看这两个变量拼接出来的路径是不是包含敏感信息。

不过我看这里的 crond/run/20150416 非常像是机器上 crontab 日志的路径,如果你的Web服务器配置有漏洞,使这个 CGI 执行能拿到结果,黑客将有可能从这里查看到你机器上的 crontab 信息, crontab 里可能是包含机器密码、数据库密码的啊——你懂的。


share
Potato answered 9 years, 6 months ago

Your Answer

Ask Question
Related questions

请问:在输入框内粘贴图片并上传到服务器,怎么用PHP+JS实现?

求解前端开发的流程?

单页与后端模版渲染方式的取舍?

学习AngularJS要具备 哪些基础?

什么情况下网页用php或其他后台语言输出,什么情况下直接index.html ?

怎么在javascript中得到后台数据?