Javascript 这个用户试图入侵的是什么,可能吗?
我今天随机访问了我的网站,碰巧注意到:Javascript 这个用户试图入侵的是什么,可能吗?,javascript,php,xss,Javascript,Php,Xss,我今天随机访问了我的网站,碰巧注意到: String.fromCharCode(67, 79, 78, 67, 65, 84, 95, 87, 83, 40, 67, 72, 65, 82, 40, 51, 50, 44, 53, 56, 44, 51, 50, 41, 44, 117, 115, 101, 114, 40, 41, 44, 100, 97, 116, 97, 98, 97, 115, 101, 40, 41, 44, 118, 101, 114, 115, 105, 111,
String.fromCharCode(67, 79, 78, 67, 65, 84, 95, 87, 83, 40, 67, 72, 65, 82, 40, 51, 50, 44, 53, 56, 44, 51, 50, 41, 44, 117, 115, 101, 114, 40, 41, 44, 100, 97, 116, 97, 98, 97, 115, 101, 40, 41, 44, 118, 101, 114, 115, 105, 111, 110, 40, 41, 41)
有人试图输入字符串。困惑的我查了一下,发现我能翻译
CONCAT_WS(CHAR(32,58,32),user(),database(),version())
这些信息揭示了什么?你能从javascript进入数据库吗?借助Zachrip和Marc B的评论:
他想给你注射SQL。Javascript本身无法触摸 您的数据库,但转换后的字符串可以做一些事情(它会 使用这些函数连接字符串)。-扎克里普
这是一次sql注入攻击尝试。它会透露你的生活细节 DB和用于连接到它的帐户。e、 g.
根目录:mysql:5.5.56
马克B
(由用户火箭危险品指出,CHAR(32,58,32)
翻译为:'
)
对于您的关注(非常好的关注):
这本身不会让入侵者进入你的数据库。这将为攻击者提供-可能/可能-有价值的信息。有了更多的信息,就有更多的窗口可以被利用。我认为重要的是要认识到,无论你的网站多么安全,它都可能受到攻击。这就是为什么我们让事情变得安全,对吗?第一条规则是不要惊慌
就因为有人在搜索http://example.com/q=alert('xss')
并不意味着您易受跨站点脚本攻击。他们正在检查你是否在
仅仅因为有人试图使他们的用户名”或1=1--
,并不意味着你有SQL注入漏洞
输入此文本的人员/机器人正在探测您是否易受SQL注入攻击CONCAT_WS(CHAR(32,58,32),user(),database(),version())
只是一个盲目SQL注入的尝试,看看他们是否可以插入一些东西并让数据库返回数据。这些信息并不是特别有价值,但事实上,他们可以得到它。接下来要做的事情是根据他们的动机修改或转储数据库(甚至可能只是告诉你漏洞)
我们无法仅从所提供的信息来判断您是否容易受到任何攻击。只是有人试图探测你的网站的漏洞,这种情况经常发生在很多很多人身上
因此,基本上,用户是在测试您是否易受攻击(不一定是恶意的),但我们无法告诉您您的系统是否对此脆弱。这将取决于你如何处理这个字符串 他想给你注射SQL。Javascript本身不能接触数据库,但转换后的字符串可以做一些事情(它可以使用这些函数连接字符串)。如果有一个带有驱动程序的Javascript库,并且数据库服务器不拒绝远程连接,当然,可以从Javascript进入数据库。但我从未听说过javascript数据库库。这是一种sql注入攻击尝试。它将显示有关您的数据库以及用于连接数据库的帐户的详细信息。e、 g.root:mysql:5.5.56
FYI:CHAR(32,58,32)
翻译成:“
。你能解释一下你在哪里注意到了这段代码吗?我不是那个否决你的人,但是为了让“CONCAT_WS(CHAR(32,58,32),user(),database(),version()”)运行,他们不需要将它插入数据库吗?Javascript如何能够返回这样的查询?@RichardSedanna它不会。但是有很多方法(我不再更新了,很抱歉:()使用JS进行SQL注入,我很确定这是可能的。而且不用担心否决票,谢谢:)