[英]Attempted exploit?
我看到我的nopCommerce網站有一個記錄搜索:
ADw-script AD4-alert(202) ADw-/script AD4-
雖然他們想要完成什么,但我有點好奇。 我搜索了一下,顯然ADw-script AD4-
以UTF7編碼為<script>
。 但為什么alert(202)
?
他們只是檢查漏洞嗎?
記錄了更多的黑客嘗試,我在這里提出了一個關於他們的新問題: 黑客企圖,他們試圖做什么以及如何檢查他們是否成功?
有人正在檢查您是否有UTF-7注入漏洞以便以后使用它。 UTF-7僅使用通常不被視為有害的字符。 你總是在HTML中使用meta charset嗎?
始終在HTML中盡可能使用meta charset,如下所示:
<!doctype html>
<html lang="en-us">
<head>
<meta charset="utf-8">
...
而且您不必擔心基於UTF-7的XSS攻擊。
據推測,看到alert(202)
執行將允許攻擊者決定將JS注入您的頁面是否可行。 換句話說,是的,你可能正在被探查。
如果您希望安全地使用這些類型的進樣,則必須指定Content-Type。
如果可能,嘗試將Content-Type放入標題而不是元標記。 如果你想在php中做,你可以做到
<?php
header('Content-Type: text/html;charset=utf-8');
在你的PHP應用程序的頂部。 如果由於某些原因你不能這樣做,你可以把它放在你的meta標簽中:
<!DOCTYPE HTML>
<html>
<head>
<meta charset="utf-8">
....Rest of your page
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.