盲 SQL 注入 PCI 故障

盲 SQL 注入 PCI 故障

我正在处理客户的 PCI 合规性问题。其中一项不合格项目是:

3.1.4. 盲 SQL 注入(httpgenericscriptblindsqlinjection)

提供的解决方案很简单:“确保 Web 应用程序在 SQL 查询中使用用户输入之前对其进行验证和编码。”

它似乎与 OWA 相关,因为它的站点为:“使用方法 GET 在 http:///owa/?P=+ADwscript+ AD4alert(42)+ADw/ script+AD4 上发现盲 SQL 注入”

有人知道如何解决这个特殊问题吗?

答案1

我认为“SQL 注入”这个术语会误导您。他们实际上描述的是 XSS(跨站点脚本)攻击。

您可以在此处阅读有关此特定漏洞的信息:http://msdn.microsoft.com/en-us/library/dd565635%28v=vs.85%29.aspx

基本上,http:///owa/?P=+ADwscript+ AD4alert(42)+ADw/ script+AD4 在某个地方,在没有指定其编码类型的文档中返回完全未经净化的精确输入。

这意味着该代码实际上由您的浏览器呈现和解析,并<script>alert(42)</script>在加载时显示弹出“42”。

这个特定的脚本并不是很恶意,但是如果你将人们的帐户重定向到你服务器上的该 URL,你可能会对他们的帐户做一些非常恶意的事情。比如从你的服务器嵌入一个恶意的 JS 文件,劫持页面上的所有输入,或者在页面中插入病毒等。

但是,我找不到任何迹象表明 OWA 存在这些漏洞,所以我只能假设你的 OWA 服务器正在运行某些别的存在此漏洞。


我刚刚尝试利用此漏洞攻击我们这里的 Exchange 2010 服务器,但没有任何效果。如果这是一台 SBS 2011 机器(如您的标签所示),那么远程访问/owa 站点通常仅在文件夹下运行/remote/。您是否在域的根目录上运行了另一个默认 IIS 应用程序?

相关内容