exchange-2010 – 盲SQL注入PCI失败

我正在研究客户的PCI合规性.其中一个失败的项目是：

3.1.4.盲SQL注入(httpgenericscriptblindsqlinjection)

提供的解决方案很简单：
“确保Web应用程序在SQL查询中使用之前验证并编码用户输入.”

它似乎与OWA有关,因为它的网站：
“使用方法GET在http：/// owa /？P = ADwscript AD4alert(42)ADw /脚本AD4上找到盲目SQL注入”

有谁知道如何解决这个特殊问题？

解决方法

您可以在此处阅读此特定漏洞：http://msdn.microsoft.com/en-us/library/dd565635%28v=vs.85%29.aspx

基本上,http：/// owa /？P = ADwscript AD4alert(42)ADw /脚本AD4在某个地方返回完全未消毒的确切输入,该文档没有指定其编码类型.

这意味着该代码实际上由您的浏览器呈现和解析为< script> alert(42)< / script>在加载时显示弹出窗口“42”.

这个特殊的脚本不是很顽皮,但是如果你将它们重定向到服务器上的那个URL,你可以对人们的帐户做一些非常恶意的事情.就像从您的服务器中嵌入一个讨厌的JS文件,它劫持了页面上的所有输入,或者将病毒插入页面等.

但是,我找不到任何迹象表明OWA存在任何这些漏洞,因此我只能假设您的OWA服务器正在运行具有此漏洞的其他东西.

我刚试过这个针对我们这里的Exchange 2010服务器的漏洞而且它没有做任何事情.如果这是一个标签似乎表明的SBS 2011机器,那么通常远程访问/ owa站点只能在/ remote /文件夹下运行.您是否在域的根目录上运行另一个默认IIS应用程序？

（编辑：PHP编程网 - 黄冈站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!