【问题标题】:what are the following attack strings trying to do?以下攻击字符串试图做什么?
【发布时间】:2016-08-29 13:48:49
【问题描述】:

我发现很少有针对 Web 应用程序的攻击 GET 请求。

mysite.com/login/auth;jsessionid=%22%20or%20%22d%22=%22d

mysite.com/login/auth;jsessionid=1%20and%2013=3%20--%20-

mysite.com/login/auth;jsessionid=C5C7348B296E4E39E84DD6B4BC93191D?alert(14721858.07197)<a>

mysite.com/login/auth;jsessionid=C5C7348B296E4E39E84DD6B4BC93191D?"style="x:expr/**/ession(alert(14721858.07267))

如果有人能告诉我有什么帮助,我将不胜感激!谢谢!

【问题讨论】:

    标签: security


    【解决方案1】:

    他们正在以多种方式探测 url。

    会话预测,(看起来像这样):
    mysite.com/login/auth;jsessionid=%22%20or%20%22d%22=%22d mysite.com/login/auth;jsessionid=1%20and%2013=3%20--%20-

    这些链接讨论的是:
    what is the vulnerability of having Jsessionid on first request only
    还有这个
    Testing for Session Fixation

    还有,UI 劫持和编码 URL 黑客,在这里讨论:
    Three Semicolon Vulnerabilities

    祝你好运……

    【讨论】:

      猜你喜欢
      • 2010-09-17
      • 2012-11-04
      • 2012-08-01
      • 2012-09-26
      • 2011-09-13
      • 2015-01-17
      • 2013-01-08
      • 1970-01-01
      • 1970-01-01
      相关资源
      最近更新 更多