我看到我的nopCommerce网站有一个登录搜索:尝试利用?
ADw-script AD4-alert(202) ADw-/script AD4-
我有点好奇,虽然他们试图完成的任务。我对它进行了一些搜索,显然ADw-script AD4-使用UTF7编码为<script>。但为什么alert(202)?
他们只是在检查漏洞吗?
更多的黑客attemps被记录下来,我做了一个新的问题,关于他们在这里:Hacking attempt, what were they trying to do and how can I check if they succeeded?
有人检查,如果你有一个UTF-7注入漏洞后利用它。 UTF-7只使用通常不被认为有害的字符。你总是在你的HTML中使用meta charset吗?
始终使用元字符集尽可能高在你的HTML,像这样:
<!doctype html>
<html lang="en-us">
<head>
<meta charset="utf-8">
...
,你会不会担心UTF-7基于XSS攻击。
想必看到alert(202)执行将允许攻击者来决定它是否是注入JS到页面上是可行的。换句话说,是的,你可能正在被探测。
如果您希望从这些类型的注入中安全,您必须指定一个内容类型。
如果可能的话,尝试将Content-Type放入标题而不是元标记。如果你想用php做,你可以做
<?php
header('Content-Type: text/html;charset=utf-8');
在你的php应用程序的顶部。如果由于某些原因你不能这样做,你可以把它放在你的meta标签中:
<!DOCTYPE HTML>
<html>
<head>
<meta charset="utf-8">
....Rest of your page
实际上,我在我的页面中找不到meta charset标签。我正在使用默认的nopCommerce平台。这可能是nopCommerce中的一个已知漏洞吗? – 2011-03-01 11:10:40
如果您不使用元字符集,那么如果您曾经碰巧显示过任何用户输入信息,那么它就是您的访问者使用Internet Explorer的XSS漏洞。请参阅:[Wikipedia](http://en.wikipedia.org/wiki/UTF-7#Security),[Doctype](http://code.google.com/p/doctype/wiki/ArticleUtf7)和[UTF -7 XSS Cheat Sheet](http://openmya.hacker.jp/hasegawa/security/utf7cs.html) – Zed 2011-03-01 11:15:06
似乎搜索没有收到第一个“+”,所以我可能是安全的。我已经添加了charset标签。谢谢! :) – 2011-03-01 13:02:39