試圖利用？

Question

我看到我的nopCommerce網站有一個記錄搜索：

ADw-script AD4-alert(202) ADw-/script AD4-

雖然他們想要完成什么，但我有點好奇。 我搜索了一下，顯然ADw-script AD4-以UTF7編碼為<script> 。 但為什么alert(202) ？

他們只是檢查漏洞嗎？

記錄了更多的黑客嘗試，我在這里提出了一個關於他們的新問題： 黑客企圖，他們試圖做什么以及如何檢查他們是否成功？

Answer 1

有人正在檢查您是否有UTF-7注入漏洞以便以后使用它。 UTF-7僅使用通常不被視為有害的字符。 你總是在HTML中使用meta charset嗎？

始終在HTML中盡可能使用meta charset，如下所示：

<!doctype html>  
<html lang="en-us">
<head>
  <meta charset="utf-8">
  ...

而且您不必擔心基於UTF-7的XSS攻擊。

Answer 2

是的，他們只是檢查您的網站是否容易受到XSS攻擊。

閱讀http://www.cgisecurity.com/xss-faq.html

和Rsnakes XSS備忘單

http://ha.ckers.org/xss.html

了解更多信息

Answer 3

據推測，看到alert(202)執行將允許攻擊者決定將JS注入您的頁面是否可行。 換句話說，是的，你可能正在被探查。

Answer 4

如果您希望安全地使用這些類型的進樣，則必須指定Content-Type。

如果可能，嘗試將Content-Type放入標題而不是元標記。 如果你想在php中做，你可以做到

<?php
    header('Content-Type: text/html;charset=utf-8');

在你的PHP應用程序的頂部。 如果由於某些原因你不能這樣做，你可以把它放在你的meta標簽中：

<!DOCTYPE HTML>
<html>
    <head>
        <meta charset="utf-8">
        ....Rest of your page