Qualcuno può dirmi se si tratta di un attacco di cross-site scripting o di una normale voce di log?

0

Qualcuno può far luce su questi log.

 ****GET /list25/ADMN/Eligibility/EligibilityResponse.aspx _TSM_HiddenField_=ctl00_ScriptManager1_HiddenField&_TSM_CombinedScripts_=%3b%3bAjaxControlToolkit%2c+Version%3d4.1.40412.0%2c+Culture%3dneutral%2c+PublicKeyToken%3d28f01b0e84b6d53e%3aen-US%3aacfc7575-cdee-46af-964f-5d85d9cdcf92%3ade1feab2%3af9cec9bc%3aa0b0f951%3aa67c2700%3af2c8e708%3a720a52bf%3a4a2c8239%3a8613aea7%3a3202a5a2%3aab09e3fe%3a87104b7c%3abe6fb298 443 - 10.160.241.146 Mozilla/4.0+(compatible;+MSIE+8.0;+Windows+NT+5.1;+Trident/4.0;+.NET+CLR+1.1.4322;+.NET+CLR+2.0.50727;+.NET+CLR+3.0.4506.2152;+.NET+CLR+3.5.30729;+.NET4.0C**

La mia domanda è

  1. è questo attacco XSS?
  2. Quale azione ha fatto l'utente che ha reso il server web per registrare queste voci?
  3. se non si tratta di un attacco di cosa si registra tutto questo?
posta MS Guy 07.12.2015 - 04:51
fonte

1 risposta

2

Ho eseguito la decodifica dell'URL sulla stringa che hai fornito. Sembra una normale voce di log .Below sono alcune delle cose che posso dire dalla voce del registro:

  • L'indirizzo IP che ha tentato di accedere a questa pagina è 10.160.241.146 porta 443 "a dire il vero non ricordo se questo è uno o uno all'inizio della voce del registro, ho bisogno di cercarlo"

  • Il browser ha inviato la seguente intestazione dell'agente utente Mozilla / 4.0 + (compatible; MSIE + + 8.0; + Windows + NT + 5,1; + Trident / 4.0;. + NET + CLR + 1.1.4322;. + NET + CLR + 2.0.50727;. + NET + CLR + 3.0.4506.2152;. + NET + CLR + 3.5.30729;. + NET4.0C **

  • L'altra parte è solo l'URL con i parametri che vengono passati.

se quella pagina non viene solitamente visitata dagli utenti che potrebbero indicare uno strumento automatico che cerca di cercare in modo specifico AJAX Control Toolkit ToolkitScriptMan.cs TSM_HiddenField Field XXS. Dovresti controllare i tuoi registri alla ricerca di ulteriori prove. Devi guardare i log per l'IP incriminato.

    
risposta data 07.12.2015 - 06:06
fonte

Leggi altre domande sui tag