我的网站出现大量“链接已损坏”消息。我猜想有人正在探测我的某个特定漏洞。
我想知道罪犯在寻找什么,他们希望如何行动,是直接下手,还是从不知情的受害者那里下手……诸如此类。您能告诉我关于此事的任何信息。
一个问题是,网站上有一个地方用户可以输入自己的 HTML,然后由我们的网络服务器呈现;这可能与此有关吗?
其中大约有二十几种变体:
Referrer: http://210.11.22.33/<script>cross_site_scripting.nasl</script>.jspa
Requested URL: /<script>cross_site_scripting.nasl</script>.jspa
Referrer: http://210.11.22.33/<IMG%20SRC="javascript:alert(cross_site_scripting.nasl);">.jspa
Requested URL: /<IMG SRC="javascript:alert(cross_site_scripting.nasl);">.jspa
Referrer: http://210.11.22.33/<meta%20http-equiv=Set-Cookie%20content=%22testbvny=9424%22>
Requested URL: /<meta http-equiv=Set-Cookie content="testbvny=9424">
Referrer: http://210.11.22.33/<IMG%20SRC="javascript:alert(cross_site_scripting.nasl);">.idc
Requested URL: /<IMG SRC="javascript:alert(cross_site_scripting.nasl);">.idc
答案1
一个问题是,网站上有一个地方用户可以输入自己的 HTML,然后由我们的网络服务器呈现;这可能与此有关吗?
根据请求的 URI,这与那无关。
攻击者似乎正在探测您的 404 文档以查看是否可以执行 XSS 攻击 - 如果您在“将 HTML 返回给访问者”URI 上看到此活动,那么您可能希望从那里开始,但在这种情况下,似乎有效的 URI 并不是目标。
确保您的 404 页面转义所提供的任何 URI 并且不允许未转义的 HTML 通过,然后查看保护您的 HTML 功能(如果您尚未这样做)(即,要求在使用该功能时发布一次性使用的令牌)。