问题试图利用？

我看到我的nopCommerce网站有一个记录搜索：

ADw-script AD4-alert(202) ADw-/script AD4-

虽然他们想要完成什么，但我有点好奇。我搜索了一下，然后显然是 ADw-script AD4- 以UTF7编码为 <script>。但为什么呢 alert(202)？

他们只是在检查漏洞吗？

记录了更多的黑客尝试，我在这里提出了一个关于它们的新问题：黑客攻击，他们试图做什么以及如何检查他们是否成功？

5966

2018-03-01 10:46

起源

有人正在检查您是否有UTF-7注入漏洞以便以后使用它。 UTF-7仅使用通常不被视为有害的字符。你总是在HTML中使用meta charset吗？

始终在HTML中尽可能使用元字符集，如下所示：

<!doctype html>  
<html lang="en-us">
<head>
  <meta charset="utf-8">
  ...

而且您不必担心基于UTF-7的XSS攻击。

2018-03-01 10:57

实际上，我在页面中找不到meta charset标签。我正在使用默认的nopCommerce平台。这可能是nopCommerce中的已知漏洞吗？ - Oskar Kjellin

如果您不使用meta charset，那么如果您碰巧显示任何用户输入，那么对于使用Internet Explorer的访问者来说，这是一个XSS漏洞。看到：维基百科，文档类型和 UTF-7 XSS备忘单 - Zed

看起来搜索没有赶上第一个“+”，所以我可能很安全。我现在添加了charset标签。谢谢！ :) - Oskar Kjellin

有人正在检查您是否有UTF-7注入漏洞以便以后使用它。 UTF-7仅使用通常不被视为有害的字符。你总是在HTML中使用meta charset吗？

始终在HTML中尽可能使用元字符集，如下所示：

<!doctype html>  
<html lang="en-us">
<head>
  <meta charset="utf-8">
  ...

而且您不必担心基于UTF-7的XSS攻击。

2018-03-01 10:57

实际上，我在页面中找不到meta charset标签。我正在使用默认的nopCommerce平台。这可能是nopCommerce中的已知漏洞吗？ - Oskar Kjellin

看起来搜索没有赶上第一个“+”，所以我可能很安全。我现在添加了charset标签。谢谢！ :) - Oskar Kjellin

是的，他们只是检查您的网站是否容易受到XSS攻击。

和Rsnakes XSS备忘单

了解更多信息

2018-03-01 10:51

大概是看到了 alert(202) 执行将允许攻击者决定将JS注入您的页面是否可行。换句话说，是的，你可能正在被探查。

2018-03-01 10:50

如果您希望安全地使用这些类型的注入，则必须指定Content-Type。

如果可能，尝试将Content-Type放入标题而不是元标记。如果你想在php中做，你可以做到

<?php
    header('Content-Type: text/html;charset=utf-8');

在你的PHP应用程序的顶部。如果由于某些原因你不能这样做，你可以把它放在你的meta标签中：

<!DOCTYPE HTML>
<html>
    <head>
        <meta charset="utf-8">
        ....Rest of your page

2017-09-11 08:38

问题 试图利用？