我在我的变量上使用mysql_real_escape_string(),但查看我的日志时,我注意到来自某人的输入流,其中包含以下条目:
${@print(md5(acunetix_wvs_security_test))}
1\" or (sleep(4)+1) limit 1 --
等等.一个巨大的列表.
他只是在尝试而没有发生什么事吗?或者我的代码不安全只有mysql_real_escape_string()?
编辑:我看不到任何损坏,但网站上的大部分输入区域已经尝试了很多次.如果它不起作用,他会不会停下来,意识到它是安全的?
这些条目来自Acunetix Web漏洞扫描(有关详细信息,请参阅http://www.acunetix.com/vulnerability-scanner/).
简而言之,这只是一个在您的站点上运行并测试已知安全问题的机器人.至于你的问题,他只是在尝试.即使您的网站存在漏洞,扫描程序也不会试图破坏任何内容,只需向测试人员报告漏洞即可.
也许这是稍后再检查日志,因为自动扫描可能是一个人,谁再尝试手动攻击你的网站,与他从自动扫描得到的信息的自动收集信息是个好主意.但我不知道你的申请有多重要.
编辑:不,扫描仪不会停止.这些扫描仪不是很聪明,不会尝试从以前的结果中学习.它们只能通过定义的攻击列表进行工作,并在可以找到的每个输入/参数上进行尝试.
| 归档时间: |
|
| 查看次数: |
8176 次 |
| 最近记录: |