Dovrei essere preoccupato per questa richiesta di URL che ho ricevuto sul mio sito?

4

Stavo controllando i registri del fine settimana del mio server IIS e ho notato una strana richiesta che era stata bloccata:

http://www.mysite.com/Scripts,j.html()).html(a.spinner)}this.xhr=d.ajax(d.extend({},a.ajaxOptions,{url:h,success:function(k,n){e.element.find(e._sanitizeSelector(c.hash)).html(k);e._cleanup();a.cache&&d.data(c

Ho controllato la cartella degli script e non ho trovato nulla di insolito. Ho anche cercato parte della richiesta su Google e ho scoperto che si tratta di una sorta di "iniezione javascript".

Dovrei essere preoccupato?

    
posta oskar132 15.12.2014 - 15:23
fonte

1 risposta

1

Quando ho cercato su Google la query, ho ricevuto molte richieste simili segnalate come dannose su diversi siti Web (come questo ). Questo sicuramente sembra un tentativo XSS. Tuttavia, non penso che ci sia nulla di cui preoccuparsi per questa particolare richiesta. Il codice:

j.html()).html(a.spinner)}this.xhr=d.ajax(d.extend({},a.ajaxOptions,{url:h,success:function(k,n){e.element.find(e._sanitizeSelector(c.hash)).html(k);e._cleanup();a.cache&&d.data(c

è in realtà una parte di Interfaccia utente di JQuery 1.8.13 min. . Questa è fondamentalmente una parte del codice che è responsabile della gestione di Tab Widget . Ecco il codice completo:

        if ( o.spinner ) {
            var span = $( "span", a );
            span.data( "label.tabs", span.html() ).html( o.spinner );
        }

        this.xhr = $.ajax( $.extend( {}, o.ajaxOptions, {
            url: url,
            success: function( r, s ) {
                self.element.find( self._sanitizeSelector( a.hash ) ).html( r );

                // take care of tab labels
                self._cleanup();

                if ( o.cache ) {
                    $.data( a, "cache.tabs", true );
                }

                self._trigger( "load", null, self._ui( self.anchors[ index ], self.panels[ index ] ) );
                try {
                    o.ajaxOptions.success( r, s );
                }
                catch ( e ) {}
            },
            error: function( xhr, s, e ) {
                // take care of tab labels
                self._cleanup();

                self._trigger( "load", null, self._ui( self.anchors[ index ], self.panels[ index ] ) );
                try {
                    // Passing index avoid a race condition when this method is
                    // called after the user has selected another tab.
                    // Pass the anchor that initiated this request allows
                    // loadError to manipulate the tab content panel via $(a.hash)
                    o.ajaxOptions.error( xhr, s, index, a );
                }
                catch ( e ) {}
            }
        } ) );

Non ci sono inoltre vulnerabilità specifiche specifiche per questa particolare versione dell'interfaccia utente jQuery. Non penso che avrebbe fatto nulla di dannoso, almeno sul lato server.

    
risposta data 15.12.2014 - 16:50
fonte

Leggi altre domande sui tag