我正在研究客户的PCI合规性.其中一个失败的项目是:
3.1.4.盲sql注入(httpgenericscriptblindsqlinjection)
提供的解决方案很简单:
“确保Web应用程序在SQL查询中使用之前验证并编码用户输入.”
它似乎与OWA有关,因为它的网站:
“使用方法GET在http:/// owa /?P = ADwscript AD4alert(42)ADw /脚本AD4上找到盲目sql注入”
有谁知道如何解决这个特殊问题?
解决方法
我认为术语“sql注入”会让你误入歧途.他们实际描述的是XSS(跨站点脚本)攻击.
您可以在此处阅读此特定漏洞:http://msdn.microsoft.com/en-us/library/dd565635%28v=vs.85%29.aspx
基本上,http:/// owa /?P = ADwscript AD4alert(42)ADw /脚本AD4在某个地方返回完全未消毒的确切输入,该文档没有指定其编码类型.
这意味着该代码实际上由您的浏览器呈现和解析为< script> alert(42)< / script>在加载时显示弹出窗口“42”.
这个特殊的脚本不是很顽皮,但是如果你将它们重定向到服务器上的那个URL,你可以对人们的帐户做一些非常恶意的事情.就像从您的服务器中嵌入一个讨厌的JS文件,它劫持了页面上的所有输入,或者将病毒插入页面等.
但是,我找不到任何迹象表明OWA存在任何这些漏洞,因此我只能假设您的OWA服务器正在运行具有此漏洞的其他东西.
我刚试过这个针对我们这里的Exchange 2010服务器的漏洞而且它没有做任何事情.如果这是一个标签似乎表明的SBS 2011机器,那么通常远程访问/ owa站点只能在/ remote /文件夹下运行.您是否在域的根目录上运行另一个默认IIS应用程序?
