¿Puede alguien decirme si se trata de un ataque de secuencias de comandos entre sitios o una entrada de registro normal?

Question

¿Puede alguien decirme si se trata de un ataque de secuencias de comandos entre sitios o una entrada de registro normal?

#1 de P3nT3ster (2 votos)

0

¿Alguien puede arrojar luz sobre estos registros?

 ****GET /list25/ADMN/Eligibility/EligibilityResponse.aspx _TSM_HiddenField_=ctl00_ScriptManager1_HiddenField&_TSM_CombinedScripts_=%3b%3bAjaxControlToolkit%2c+Version%3d4.1.40412.0%2c+Culture%3dneutral%2c+PublicKeyToken%3d28f01b0e84b6d53e%3aen-US%3aacfc7575-cdee-46af-964f-5d85d9cdcf92%3ade1feab2%3af9cec9bc%3aa0b0f951%3aa67c2700%3af2c8e708%3a720a52bf%3a4a2c8239%3a8613aea7%3a3202a5a2%3aab09e3fe%3a87104b7c%3abe6fb298 443 - 10.160.241.146 Mozilla/4.0+(compatible;+MSIE+8.0;+Windows+NT+5.1;+Trident/4.0;+.NET+CLR+1.1.4322;+.NET+CLR+2.0.50727;+.NET+CLR+3.0.4506.2152;+.NET+CLR+3.5.30729;+.NET4.0C**

Mi pregunta es

¿Es este ataque XSS?
¿Qué acción realizó el usuario para que el servidor web registre estas entradas?
si no es un ataque, ¿de qué se tratan estos registros?

web-application webserver xss

pregunta MS Guy 07.12.2015 - 04:51

fuente

1 respuesta

Lea otras preguntas en las etiquetas web-application webserver xss

dispositivo de monitoreo de teléfono celular Definición de incidente de seguridad [cerrado]

score 2 · Accepted Answer

Hice la decodificación de URL en la cadena que proporcionaste. Esto parece una entrada de registro normal A continuación hay algunas de las cosas que podría decir de la entrada del registro:

La dirección IP que intentó navegar a esta página es 10.160.241.146 en puerto 443 "para ser honesto, no recuerdo si este es uno o uno al comienzo de la entrada del registro, necesito buscarlo"
El navegador envió el siguiente encabezado de agente de usuario mozilla / 4.0 + (compatible; + MSIE + 8.0; + Windows + NT + 5.1; + Trident / 4.0; +. NET + CLR + 1.1.4322; +. NET + CLR + 2.0.50727; +. NET + CLR + 3.0.4506.2152; +. NET + CLR + 3.5.30729; +. NET4.0C **
La otra parte es solo la URL con los parámetros que se pasan.

si los usuarios no suelen visitar esa página, esto podría indicar una herramienta automatizada que intenta buscar específicamente el kit de herramientas de control AJAX ToolkitScriptManager.cs TSM_HiddenField Field XXS. Debe inspeccionar sus registros en busca de más evidencia. Debe mirar los registros de la IP ofensiva.