我正在研究客户的PCI合规性。 其中一个失败的项目是:
3.1.4。 盲目SQL注入(httpgenericscriptblindsqlinjection)
提供的解决scheme很简单:“确保Web应用程序在使用SQL查询之前validation并编码用户input。
它似乎与OWA相关,因为它的站点是:“使用GET方法在http:/// owa /?P = + ADwscript + AD4alert(42)+ ADw / script + AD4上发现盲目SQL注入”
有谁知道如何解决这个特定的问题?
我认为“SQL注入”这个词让你误入歧途。 他们实际上描述的是一个XSS(跨站点脚本)攻击。
你可以在这里阅读这个特定的漏洞: http : //msdn.microsoft.com/en-us/library/dd565635%28v=vs.85%29.aspx
基本上, http:///owa/?P=+ADwscript+ AD4alert(42)+ADw/ script+AD4是某个地方返回确切的input,完全没有消毒,没有指定其编码types的文档。
这意味着这个代码实际上被浏览器呈现并parsing为<script>alert(42)</script> ,它在加载时显示一个popup的“42”。
这个特定的脚本不是很淘气,但是如果你把它们redirect到你服务器上的这个URL,你可以对人们帐户做一些非常恶意的事情。 就像从服务器中embedded一个恶意的JS文件,劫持页面上所有的input,或者在页面中插入病毒等等。
但是,我找不到任何迹象表明OWA有这些漏洞,所以我只能假设你的OWA服务器正在运行其他有这个漏洞的东西。
我刚刚尝试了这个漏洞,针对我们在这里的Exchange 2010服务器,它什么都不做。 如果这是您的标签似乎指示的SBS 2011机器,那么通常远程访问/ owa站点只能在/remote/文件夹下运行。 你有另一个默认的IIS应用程序在域的根目录上运行吗?