exchange-2010 – 盲SQL注入PCI失败
|
我正在研究客户的PCI合规性.其中一个失败的项目是: 3.1.4.盲SQL注入(httpgenericscriptblindsqlinjection) 提供的解决方案很简单: 它似乎与OWA有关,因为它的网站: 有谁知道如何解决这个特殊问题? 解决方法我认为术语“SQL注入”会让你误入歧途.他们实际描述的是XSS(跨站点脚本)攻击.您可以在此处阅读此特定漏洞:http://msdn.microsoft.com/en-us/library/dd565635%28v=vs.85%29.aspx 基本上,http:/// owa /?P = ADwscript AD4alert(42)ADw /脚本AD4在某个地方返回完全未消毒的确切输入,该文档没有指定其编码类型. 这意味着该代码实际上由您的浏览器呈现和解析为< script> alert(42)< / script>在加载时显示弹出窗口“42”. 这个特殊的脚本不是很顽皮,但是如果你将它们重定向到服务器上的那个URL,你可以对人们的帐户做一些非常恶意的事情.就像从您的服务器中嵌入一个讨厌的JS文件,它劫持了页面上的所有输入,或者将病毒插入页面等. 但是,我找不到任何迹象表明OWA存在任何这些漏洞,因此我只能假设您的OWA服务器正在运行具有此漏洞的其他东西. 我刚试过这个针对我们这里的Exchange 2010服务器的漏洞而且它没有做任何事情.如果这是一个标签似乎表明的SBS 2011机器,那么通常远程访问/ owa站点只能在/ remote /文件夹下运行.您是否在域的根目录上运行另一个默认IIS应用程序? (编辑:东莞站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
