那些遇到过的问题

试图利用?

Osk*_*lin 11 javascript security unicode xss javascript-injection

我看到我的nopCommerce网站有一个记录搜索:

ADw-script AD4-alert(202) ADw-/script AD4-
Run Code Online (Sandbox Code Playgroud)

虽然他们想要完成什么,但我有点好奇.我搜索了一下,看起来ADw-script AD4-是UTF7中的编码<script>.但为什么alert(202)呢?

他们只是检查漏洞吗?

记录了更多的黑客尝试,我在这里提出了一个关于他们的新问题:黑客企图,他们试图做什么以及如何检查他们是否成功?

Zed*_*Zed 9

有人正在检查您是否有UTF-7注入漏洞以便以后使用它.UTF-7仅使用通常不被视为有害的字符.你总是在HTML中使用meta charset吗?

始终在HTML中尽可能使用meta charset,如下所示:

<!doctype html>  
<html lang="en-us">
<head>
  <meta charset="utf-8">
  ...
Run Code Online (Sandbox Code Playgroud)

而且您不必担心基于UTF-7的XSS攻击.

  • 如果您不使用meta charset,那么如果您碰巧显示任何用户输入,那么对于使用Internet Explorer的访问者来说,它是一个XSS漏洞.请参阅:[维基百科](http://en.wikipedia.org/wiki/UTF-7#Security),[Doctype](http://code.google.com/p/doctype/wiki/ArticleUtf7)和[UTF -7 XSS备忘单](http://openmya.hacker.jp/hasegawa/security/utf7cs.html) (3认同)

归档时间:

查看次数:

2927 次

最近记录:

11 年,1 月 前
相关归档
从onclick/onchange事件中获取HTML Checkbox的价值 187
获得意外的令牌导出 161
如何以HH:MM:SS格式在JavaScript中显示当前时间? 78
如何升级密码存储方案(更改散列算法) 25
大写Unicode的正则表达式与"Ó"不匹配? 8
奇怪的Notepad ++ HEX编辑器插件 7
清单中的Visual Studio 2005安全更新和CRT DLL版本 6
对CBC和ECB使用相同的AES密钥 6
安全与 Pyscript 3
理解decode()和encode()unicode 2
难疑归档
如何在本地和远程删除Git分支? 16311
什么是"大O"符号的简单英语解释? 4851
使用JavaScript获取当前网址? 2882
如何从Bash脚本检查程序是否存在? 2032
如何从git repo中删除文件? 1795
家谱软件中的循环 1594
你如何在YAML中阻止评论? 1272
如何在Vim中移动到行尾? 1140
异步与同步执行,它到底意味着什么? 1126
"正确"的JSON日期格式 1071