शोषण का प्रयास किया?

Question

मैंने देखा कि मेरी nopCommerce साइट के लिए एक लॉग इन खोज की थी:

ADw-script AD4-alert(202) ADw-/script AD4- 

मैं वे क्या हासिल करने की कोशिश कर रहे थे, हालांकि थोड़ा उत्सुक हूँ। मैंने इसके लिए थोड़ा सा खोज किया और स्पष्ट रूप से ADw-script AD4- यूटीएफ 7 से <script> में एन्कोड किया। लेकिन alert(202) क्यों?

क्या वे सिर्फ भेद्यताओं की जांच कर रहे थे?

अधिक हैकिंग attemps लॉग इन किया गया था और मैं यहाँ उनके बारे में एक नया सवाल किया: Hacking attempt, what were they trying to do and how can I check if they succeeded?

Answer 1

किसी ने जाँच कर रहा है, तो आप इसे बाद में फायदा उठाने के लिए एक UTF-7 इंजेक्शन भेद्यता की है। यूटीएफ -7 केवल उन पात्रों का उपयोग करता है जिन्हें आम तौर पर हानिकारक नहीं माना जाता है। क्या आप हमेशा अपने एचटीएमएल में मेटा वर्णसेट का उपयोग करते हैं?

हमेशा इस तरह, अपने HTML में संभव के रूप में उच्च मेटा चारसेट का उपयोग करें:

<!doctype html> 
<html lang="en-us"> 
<head> 
    <meta charset="utf-8"> 
    ... 

और आप UTF-7 आधारित XSS हमलों के बारे में चिंता करने की ज़रूरत नहीं होगी।

Answer 2

मुमकिन देखकर alert(202) निष्पादित हमलावर तय करने के लिए कि क्या यह आपके पृष्ठ पर जे एस सुई संभव था की अनुमति होगी। दूसरे शब्दों में, हाँ, आपको शायद जांच की जा रही थी।

Answer 3

यूप, वे सिर्फ जांच कर रहे थे कि आपकी साइट XSS के लिए कमजोर है या नहीं।

पढ़ें http://www.cgisecurity.com/xss-faq.html

और Rsnakes XSS धोखा पत्र

http://ha.ckers.org/xss.html

अधिक जानकारी के लिए

Answer 4

यदि आप इन प्रकार के इंजेक्शन से सुरक्षित होना चाहते हैं, तो आपको एक सामग्री-प्रकार निर्दिष्ट करना होगा।

यदि संभव हो तो मेटा टैग की बजाय सामग्री-प्रकार को हेडर में डालने का प्रयास करें। यदि आप इसे php में करना चाहते हैं, तो आप

<?php 
    header('Content-Type: text/html;charset=utf-8'); 

अपने PHP अनुप्रयोग के शीर्ष पर कर सकते हैं। अगर कुछ कारणों से आप इसे नहीं कर सकते हैं, तो आप इसे अपने मेटा टैग में डाल सकते हैं:

<!DOCTYPE HTML> 
<html> 
    <head> 
     <meta charset="utf-8"> 
     ....Rest of your page