[英]Attempted exploit?
我看到我的nopCommerce网站有一个记录搜索:
ADw-script AD4-alert(202) ADw-/script AD4-
虽然他们想要完成什么,但我有点好奇。 我搜索了一下,显然ADw-script AD4-
以UTF7编码为<script>
。 但为什么alert(202)
?
他们只是检查漏洞吗?
记录了更多的黑客尝试,我在这里提出了一个关于他们的新问题: 黑客企图,他们试图做什么以及如何检查他们是否成功?
有人正在检查您是否有UTF-7注入漏洞以便以后使用它。 UTF-7仅使用通常不被视为有害的字符。 你总是在HTML中使用meta charset吗?
始终在HTML中尽可能使用meta charset,如下所示:
<!doctype html>
<html lang="en-us">
<head>
<meta charset="utf-8">
...
而且您不必担心基于UTF-7的XSS攻击。
据推测,看到alert(202)
执行将允许攻击者决定将JS注入您的页面是否可行。 换句话说,是的,你可能正在被探查。
如果您希望安全地使用这些类型的进样,则必须指定Content-Type。
如果可能,尝试将Content-Type放入标题而不是元标记。 如果你想在php中做,你可以做到
<?php
header('Content-Type: text/html;charset=utf-8');
在你的PHP应用程序的顶部。 如果由于某些原因你不能这样做,你可以把它放在你的meta标签中:
<!DOCTYPE HTML>
<html>
<head>
<meta charset="utf-8">
....Rest of your page
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.