一、后台登录连试'or'='or'的机会都没有,就会出现限制,如下的js
<SCRIPT language=JavaScript> <!-- function CheckForm() { if (document.UserLogin.Name.value =="") { alert("请填写您的用户名!"); document.UserLogin.Name.focus(); return false; } var filter=/^\s*[.A-Za-z0-9_-]{5,15}\s*$/; if (!filter.test(document.UserLogin.name.value)) { alert("用户名填写不正确,请重新填写!可使用的字符为(A-Z a-z 0-9 _ - .)长度不小于5个字符, 不超过15个字符,注意不要使用空格。"); document.UserLogin.Name.focus(); document.UserLogin.Name.select(); return false; } if (document.UserLogin.Pwd.value =="") { alert("请填写您的密码!"); document.UserLogin.Pwd.focus(); return false; } var filter=/^\s*[.A-Za-z0-9_-]{5,15}\s*$/; if (!filter.test(document.UserLogin.Pwd.value)) { alert("密码填写不正确,请重新填写!可使用的字符为(A-Z a-z 0-9 _ - .)长度不小于5个字符,不 超过15个字符,注意不要使用空格。"); document.UserLogin.Pwd.focus(); document.UserLogin.Pwd.select(); return false; } loginForm.submit(); return true; } //--> </SCRIPT>
此时可把该登录页面源代码拷贝至本地去掉JS,再进行提交。
二、上传图片时,弹出提示框,只能上传gif和jpg格式的文件。右键源代码看看,如果你是幸运的,又看见了一段JavaScript正好是限制上传文件名称的时候这就来戏了。
同样本地保存页面,去掉JS,再提交。想传什么格式都行,大道通了。其实漏洞都只在于JavaScript的局限性。