我看到我的nopCommerce網站有一個登錄搜索:嘗試利用?
ADw-script AD4-alert(202) ADw-/script AD4-
我有點好奇,雖然他們試圖完成的任務。我對它進行了一些搜索,顯然ADw-script AD4-使用UTF7編碼爲<script>。但爲什麼alert(202)?
他們只是在檢查漏洞嗎?
更多的黑客attemps被記錄下來,我做了一個新的問題,關於他們在這裏:Hacking attempt, what were they trying to do and how can I check if they succeeded?
有人檢查,如果你有一個UTF-7注入漏洞後利用它。 UTF-7只使用通常不被認爲有害的字符。你總是在你的HTML中使用meta charset嗎?
始終使用元字符集儘可能高在你的HTML,像這樣:
<!doctype html>
<html lang="en-us">
<head>
<meta charset="utf-8">
...
,你會不會擔心UTF-7基於XSS攻擊。
想必看到alert(202)執行將允許攻擊者來決定它是否是注入JS到頁面上是可行的。換句話說,是的,你可能正在被探測。
如果您希望從這些類型的注入中安全,您必須指定一個內容類型。
如果可能的話,嘗試將Content-Type放入標題而不是元標記。如果你想用php做,你可以做
<?php
header('Content-Type: text/html;charset=utf-8');
在你的php應用程序的頂部。如果由於某些原因你不能這樣做,你可以把它放在你的meta標籤中:
<!DOCTYPE HTML>
<html>
<head>
<meta charset="utf-8">
....Rest of your page
實際上,我在我的頁面中找不到meta charset標籤。我正在使用默認的nopCommerce平臺。這可能是nopCommerce中的一個已知漏洞嗎? – 2011-03-01 11:10:40
如果您不使用元字符集,那麼如果您曾經碰巧顯示過任何用戶輸入信息,那麼它就是您的訪問者使用Internet Explorer的XSS漏洞。請參閱:[Wikipedia](http://en.wikipedia.org/wiki/UTF-7#Security),[Doctype](http://code.google.com/p/doctype/wiki/ArticleUtf7)和[UTF -7 XSS Cheat Sheet](http://openmya.hacker.jp/hasegawa/security/utf7cs.html) – Zed 2011-03-01 11:15:06
似乎搜索沒有收到第一個「+」,所以我可能是安全的。我已經添加了charset標籤。謝謝! :) – 2011-03-01 13:02:39