分析网站漏洞以及如何对抗它们？

Question

每当我在我管理的网站上看到利用漏洞的企图时，我总是试图找出他们试图做什么。其中一些是显而易见的，比如URL请求中的"../../passwordfile"，它们希望利用直接文件访问并在目录中向上移动。

其他的通常可以用谷歌搜索，但有些不是很明显，比如"'DJAclT<'">WMpAyg"或".(,."),,'("，我似乎找不到任何有用的搜索结果。

谁能推荐一个网站，在那里我可以了解更多，以及如何应对这些攻击？像Wapiti这样的免费扫描网站/工具也会很好。

如果有人能告诉我"'DJAclT<'">WMpAyg"或".(,."),,'("正在尝试做什么，那也会很有用。看起来像正则表达式注入尝试，但我不确定。

编辑:站点使用LAMP堆栈。

Answer 1

最好的防御是简单地知道如何处理这些类型的攻击。您可以阅读有关what XSS is的更多信息，也可以了解different types。我能推荐的最好的资源之一是OWASP的XSS prevention cheat sheet，它将教你如何避免这种特殊的攻击。

此外，我不知道你最后询问的那些特定字符是否会影响你可能正在使用的其他系统，但它们似乎只是测试输入，以便攻击者可以看到输出/它是如何存储的，它是否允许<或>，或者"字符，或者它将所有字符更改为大写或小写等等。我想说，这只是一个测试输入，看看你是否易受攻击。

希望这能有所帮助