试图利用?
[英]Attempted exploit?
问题描述
我看到我的nopCommerce网站有一个记录搜索:
ADw-script AD4-alert(202) ADw-/script AD4-
虽然他们想要完成什么,但我有点好奇。 我搜索了一下,显然ADw-script AD4-以UTF7编码为<script> 。 但为什么alert(202) ?
他们只是检查漏洞吗?
记录了更多的黑客尝试,我在这里提出了一个关于他们的新问题: 黑客企图,他们试图做什么以及如何检查他们是否成功?
4 个解决方案
解决方案1
9 已采纳 2011-03-01 10:57:16
有人正在检查您是否有UTF-7注入漏洞以便以后使用它。 UTF-7仅使用通常不被视为有害的字符。 你总是在HTML中使用meta charset吗?
始终在HTML中尽可能使用meta charset,如下所示:
<!doctype html>
<html lang="en-us">
<head>
<meta charset="utf-8">
...
而且您不必担心基于UTF-7的XSS攻击。
解决方案2
3 2011-03-01 10:51:28
解决方案3
2 2011-03-01 10:50:01
据推测,看到alert(202)执行将允许攻击者决定将JS注入您的页面是否可行。 换句话说,是的,你可能正在被探查。
解决方案4
0 2014-09-11 08:38:06
如果您希望安全地使用这些类型的进样,则必须指定Content-Type。
如果可能,尝试将Content-Type放入标题而不是元标记。 如果你想在php中做,你可以做到
<?php
header('Content-Type: text/html;charset=utf-8');
在你的PHP应用程序的顶部。 如果由于某些原因你不能这样做,你可以把它放在你的meta标签中:
<!DOCTYPE HTML>
<html>
<head>
<meta charset="utf-8">
....Rest of your page
如何在禁用$ sceProvider的情况下利用Angular中的XSS
[英]How to exploit XSS in Angular with $sceProvider being disabled
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.