Qualcuno può dirmi se si tratta di un attacco di cross-site scripting o di una normale voce di log?

Question

Qualcuno può dirmi se si tratta di un attacco di cross-site scripting o di una normale voce di log?

#1 da (2 voti)

0

Qualcuno può far luce su questi log.

 ****GET /list25/ADMN/Eligibility/EligibilityResponse.aspx _TSM_HiddenField_=ctl00_ScriptManager1_HiddenField&_TSM_CombinedScripts_=%3b%3bAjaxControlToolkit%2c+Version%3d4.1.40412.0%2c+Culture%3dneutral%2c+PublicKeyToken%3d28f01b0e84b6d53e%3aen-US%3aacfc7575-cdee-46af-964f-5d85d9cdcf92%3ade1feab2%3af9cec9bc%3aa0b0f951%3aa67c2700%3af2c8e708%3a720a52bf%3a4a2c8239%3a8613aea7%3a3202a5a2%3aab09e3fe%3a87104b7c%3abe6fb298 443 - 10.160.241.146 Mozilla/4.0+(compatible;+MSIE+8.0;+Windows+NT+5.1;+Trident/4.0;+.NET+CLR+1.1.4322;+.NET+CLR+2.0.50727;+.NET+CLR+3.0.4506.2152;+.NET+CLR+3.5.30729;+.NET4.0C**

La mia domanda è

è questo attacco XSS?
Quale azione ha fatto l'utente che ha reso il server web per registrare queste voci?
se non si tratta di un attacco di cosa si registra tutto questo?

webserver web-application xss

posta MS Guy 07.12.2015 - 04:51

fonte

1 risposta

Leggi altre domande sui tag webserver web-application xss

Tracciamento del cellulare, identificazione dell'attaccante [chiuso] Un ratter può usare la tua webcam non rilevata? [duplicare]

score 2 · Accepted Answer

Ho eseguito la decodifica dell'URL sulla stringa che hai fornito. Sembra una normale voce di log .Below sono alcune delle cose che posso dire dalla voce del registro:

L'indirizzo IP che ha tentato di accedere a questa pagina è 10.160.241.146 porta 443 "a dire il vero non ricordo se questo è uno o uno all'inizio della voce del registro, ho bisogno di cercarlo"
Il browser ha inviato la seguente intestazione dell'agente utente Mozilla / 4.0 + (compatible; MSIE + + 8.0; + Windows + NT + 5,1; + Trident / 4.0;. + NET + CLR + 1.1.4322;. + NET + CLR + 2.0.50727;. + NET + CLR + 3.0.4506.2152;. + NET + CLR + 3.5.30729;. + NET4.0C **
L'altra parte è solo l'URL con i parametri che vengono passati.

se quella pagina non viene solitamente visitata dagli utenti che potrebbero indicare uno strumento automatico che cerca di cercare in modo specifico AJAX Control Toolkit ToolkitScriptMan.cs TSM_HiddenField Field XXS. Dovresti controllare i tuoi registri alla ricerca di ulteriori prove. Devi guardare i log per l'IP incriminato.