3.1.4.盲sql注入(httpgenericscriptblindsqlinjection)
提供的解决方案很简单:
“确保Web应用程序在SQL查询中使用之前验证并编码用户输入.”
它似乎与OWA有关,因为它的网站:
“使用方法GET在http:/// owa /?P = ADwscript AD4alert(42)ADw /脚本AD4上找到盲目sql注入”
有谁知道如何解决这个特殊问题?
解决方法
您可以在此处阅读此特定漏洞:http://msdn.microsoft.com/en-us/library/dd565635%28v=vs.85%29.aspx
基本上,http:/// owa /?P = ADwscript AD4alert(42)ADw /脚本AD4在某个地方返回完全未消毒的确切输入,该文档没有指定其编码类型.
这意味着该代码实际上由您的浏览器呈现和解析为< script> alert(42)< / script>在加载时显示弹出窗口“42”.
这个特殊的脚本不是很顽皮,但是如果你将它们重定向到服务器上的那个URL,你可以对人们的帐户做一些非常恶意的事情.就像从您的服务器中嵌入一个讨厌的JS文件,它劫持了页面上的所有输入,或者将病毒插入页面等.
但是,我找不到任何迹象表明OWA存在任何这些漏洞,因此我只能假设您的OWA服务器正在运行具有此漏洞的其他东西.
我刚试过这个针对我们这里的Exchange 2010服务器的漏洞而且它没有做任何事情.如果这是一个标签似乎表明的SBS 2011机器,那么通常远程访问/ owa站点只能在/ remote /文件夹下运行.您是否在域的根目录上运行另一个默认IIS应用程序?
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。
