这个网站攻击方法不知道大家看过没有?是怎么回事呢
大家百度一下:$print(md5(this_is_a_test_string));die();有很多家网站被这样的一行代码所注入,我站今天也被这代码注入。到底怎么回事?...
大家百度一下:$print(md5(this_is_a_test_string));die(); 有很多家网站被这样的一行代码所注入,我站今天也被这代码注入。到底怎么回事?有人能帮帮忙解释一下吗谢谢!?
展开
1个回答
展开全部
这个其实是早先一些安全公司在做网络安全扫描的时候使用的一种手段,目的是测试被扫描网站是否存在安全漏洞。与这个相似的是Acunetix安全公司的Acunetix Web Vulnerability Scanning代码,${@print(md5(acunetix_wvs_security_test))}。
这行代码本身不能对你的网站产生影响,但是根据返回的结果,可能会告诉别人你的网站是否可以被注入攻击。
这个的原理其实很简单,这行代码被写在查询的输入框中,然后提交给服务器,如果服务器把这段代码当作查询的参数生成新的脚本,那么这段代码会自动执行,并在网页返回的末尾添加this_is_a_test_string的md5值,因为die函数的原因,攻击者只需要判断返回末尾是否是相应的md5值就可以知道该网站是否可以被这种方式攻击。
你可以自己手动测试把这行代码填入输入框然后提交,看看返回的结果是什么,如果末尾不是this_is_a_test_string的md5值(网上有md5计算器),那就说明你的网站对这种攻击是安全的。
这行代码本身不能对你的网站产生影响,但是根据返回的结果,可能会告诉别人你的网站是否可以被注入攻击。
这个的原理其实很简单,这行代码被写在查询的输入框中,然后提交给服务器,如果服务器把这段代码当作查询的参数生成新的脚本,那么这段代码会自动执行,并在网页返回的末尾添加this_is_a_test_string的md5值,因为die函数的原因,攻击者只需要判断返回末尾是否是相应的md5值就可以知道该网站是否可以被这种方式攻击。
你可以自己手动测试把这行代码填入输入框然后提交,看看返回的结果是什么,如果末尾不是this_is_a_test_string的md5值(网上有md5计算器),那就说明你的网站对这种攻击是安全的。
追问
该如何解决呢?
我看淘宝也一样
追答
解决什么?你的访问网址里有q=${@print(md5(this_is_a_test_string)}这一项,把这一项去掉不就行了
本回答由提问者推荐
已赞过
已踩过<
评论
收起
你对这个回答的评价是?
推荐律师服务:
若未解决您的问题,请您详细描述您的问题,通过百度律临进行免费专业咨询
