当前位置: 文江博客话题详情

尝试利用?

发布于 2024-10-19 20:28:37 字数 471 浏览 15 评论 0原文

我看到我的 nopCommerce 网站有一个记录的搜索:

ADw-script AD4-alert(202) ADw-/script AD4-

我有点好奇他们想要完成什么。我搜索了一下,发现 ADw-script AD4- 以 UTF7 编码为

他们只是检查漏洞吗?

记录了更多的黑客尝试,我在这里提出了一个关于它们的新问题:黑客尝试,他们试图做什么以及我如何检查他们是否成功?

原文

I saw that my nopCommerce site had a logged search for:

ADw-script AD4-alert(202) ADw-/script AD4-

I'm a bit curious though what they were trying to accomplish. I searched a bit for it and appearently the ADw-script AD4- encodes in UTF7 to <script>. But why the alert(202)?

Were they just checking for vulnerabilities?

More hacking attemps was logged and I made a new question about them here: Hacking attempt, what were they trying to do and how can I check if they succeeded?

如果你对这篇内容有疑问,欢迎到本站社区发帖提问 参与讨论,获取更多帮助,或者扫码二维码加入 Web 技术交流群。

扫码二维码加入Web技术交流群

发布评论

需要 登录 才能够评论, 你可以免费 注册 一个本站的账号。

评论(4

杀お生予夺 2024-10-26 20:28:38

有人正在检查您是否有 UTF-7 注入漏洞,以便稍后利用它。 UTF-7 仅使用通常被认为无害的字符。您是否总是在 HTML 中使用元字符集?

始终在 HTML 中使用尽可能高的元字符集,如下所示:

<!doctype html>  
<html lang="en-us">
<head>
  <meta charset="utf-8">
  ...

并且您不必担心基于 UTF-7 的 XSS 攻击。

Someone is checking if you have a UTF-7 injection vulnerability to exploit it later. UTF-7 uses only characters that are usually not considered harmful. Do you always use meta charset in your HTML?

Always use meta charset as high as possible in your HTML, like this:

<!doctype html>  
<html lang="en-us">
<head>
  <meta charset="utf-8">
  ...

and you won't have to worry about UTF-7 based XSS attacks.

回复 原文
心碎无痕… 2024-10-26 20:28:38

是的,他们只是检查您的网站是否容易受到 XSS 攻击。

阅读 http://www.cgisecurity.com/xss-faq.html

和 Rsnakes XSS备忘单

http://ha.ckers.org/xss.html

了解更多信息

Yup , they were just checking if your site is vulnerable for XSS.

Read http://www.cgisecurity.com/xss-faq.html

and Rsnakes XSS cheat-sheet

http://ha.ckers.org/xss.html

for more info

回复 原文
澜川若宁 2024-10-26 20:28:38

据推测,看到 alert(202) 执行将使攻击者决定将 JS 注入到您的页面是否可行。换句话说,是的,你可能正在被调查。

Presumably seeing the alert(202) execute would allow the attacker to decide whether it was feasible to inject JS onto your page. In other words, yes, you were probably being probed.

回复 原文
長街聽風 2024-10-26 20:28:38

如果您想避免这些类型的注入,则必须指定 Content-Type。

如果可能的话,尝试将 Content-Type 放入标头而不是元标记中。如果您想在 php 中执行此操作,您可以

<?php
    header('Content-Type: text/html;charset=utf-8');

在 php 应用程序的顶部执行此操作。如果由于某些原因你不能这样做,你可以将它放在你的元标签中:

<!DOCTYPE HTML>
<html>
    <head>
        <meta charset="utf-8">
        ....Rest of your page

If you want to be safe from these types of Injections, you must specify a Content-Type.

Try to put the Content-Type in headers instead of meta tags if possible. If you want to do it in php, you can do

<?php
    header('Content-Type: text/html;charset=utf-8');

at the top of your php application. If for some reasons you can't do it, you can put it in your meta tags:

<!DOCTYPE HTML>
<html>
    <head>
        <meta charset="utf-8">
        ....Rest of your page
回复 原文
~没有更多了~

关于作者

枉心

暂无简介

文章
评论
27 人气
发私信

相关话题

更多

热门标签

操作系统 程序设计 IT运维 Linux系统管理 JavaScript 服务器应用 solaris C/C++ PHP Shell BSD Vue.js aix Oracle Python HTML 系统管理 HTML5 CSS 前端
更多

推荐作者

櫻之舞

文章 0 评论 0

弥枳

文章 0 评论 0

m2429

文章 0 评论 0

寻找一个思念的角度

文章 0 评论 0

野却迷人

文章 0 评论 0

我怀念的。

文章 0 评论 0

更多

友情链接

文江博客
    我们使用 Cookies 和其他技术来定制您的体验包括您的登录状态等。通过阅读我们的 隐私政策 了解更多相关信息。 单击 接受 或继续使用网站,即表示您同意使用 Cookies 和您的相关数据。
    原文