一些随机的人发来一条消息说我们的网站上有一个错误。他们将我们引导到我们网站上的特定网址,这显然是不正确的。
我们没有点击链接,我已经检查了服务器,以查看我没有制作的文件的最新更新。我发现的唯一一件事是一个空的文本文件,这是一个很长的疯狂文件名:
MJ12_43CC245DB24A2F895E300CD7F1BAE3E5.txt
此人发送给我们的链接是这样的(隐私条款已更改)
答案 0 :(得分:6)
这是一次尝试的XSS攻击。
该网址中包含以下内容;
<script>Alert(123)</script>
但是它已被URL编码,如果你buy.php脚本对此进行解码并在页面上显示它而没有正确消毒它,那么会有一个弹出窗口说&#34; 123&#34;。
请确保您使用以下功能;
htmlspecialchars()
或者
striptags()
始终清理用户输入!
答案 1 :(得分:0)
有人向您发送了安全漏洞证明。这个空的txt文件可能与某些渗透测试有关,请在Web服务器的日志文件中查找。
关于如何处理安全漏洞提交,有一篇关于bugcrowd https://blog.bugcrowd.com/security-vulnerability-submission/
的文章放松一下,有人给了你一份礼物:)