exchange-2010 – 盲SQL注入PCI失败
|
我正在研究客户的PCI合规性.个中一个失败的项目是: 3.1.4.盲SQL注入(httpgenericscriptblindsqlinjection) 提供的办理方案很简朴: 它好像与OWA有关,由于它的网站: 有谁知道怎样办理这个非凡题目? 办理要领我以为术语“SQL注入”会让你误入邪路.他们现实描写的是XSS(跨站点剧本)进攻.您可以在此处阅读此特定裂痕:http://msdn.microsoft.com/en-us/library/dd565635%28v=vs.85%29.aspx 根基上,http:/// owa /?P = ADwscript AD4alert(42)ADw /剧本AD4在某个处所返回完全未消毒简直切输入,该文档没有指定其编码范例. 这意味着该代码现实上由您的赏识器泛起息争析为< script> alert(42)< / script>在加载时表现弹出窗口“42”. 这个非凡的剧本不是很淘气,可是假如你将它们重定向随处事器上的谁人URL,你可以对人们的帐户做一些很是恶意的工作.就像从您的处事器中嵌入一个厌恶的JS文件,它挟制了页面上的全部输入,可能将病毒插入页面等. 可是,我找不到任何迹象表白OWA存在任何这些裂痕,因此我只能假设您的OWA处事器正在运行具有此裂痕的其他对象. 我刚试过这个针对我们这里的Exchange 2010处事器的裂痕并且它没有做任何工作.假如这是一个标签好像表白的SBS 2011呆板,那么凡是长途会见/ owa站点只能在/ remote /文件夹下运行.您是否在域的根目次上运行另一个默认IIS应用措施? (编辑:湖南网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
