在PHP + Mysql网页游戏中,我有一个保存播放器名称的表单。
一周前,我注意到一些奇怪的名字出现在测试版域中(我有一个人们玩的主域名和一个" beta域名"我用它来进行测试)
姓名:
答:wslite
的javascript:警报(wslite)
../../../../../ wslite /../../../../../ boot.ini.htm
<wslite>
答:wslite =真
我用google搜索wslite,看起来像是一个常规的插件?它有什么意义吗?这些代码可能是什么以及为什么会在应用程序中插入?
答案 0 :(得分:1)
该软件可能存在一些漏洞,无论它是什么。一些“黑客”正试图使用它。我建议你阻止它们并尝试在服务器/软件中找到所有漏洞
答案 1 :(得分:1)
我也不会担心这个太多。在最坏的情况下,这意味着您的输入是安全的。我下载了一个名为“websecurify”的“web exploit扫描程序”来测试我正在处理的待办事项列表的本地版本。它通过,点击所有链接,将潜在的漏洞提交到所有文本框中,什么不是。
所以这些东西就是漏洞利用扫描程序向您的网站提交内容的地方。我的整个待办事项清单包含以下内容:
../../../../../e8sBu/../../../../../boot.ini�.htm
" onerror="f(e8sBu)