版权声明:可以转载,请注明链接出处 https://blog.csdn.net/xihuanyuye/article/details/88392917
一、问题来源
最近没事找事,说弄什么系统漏洞扫描审查。都是内网系统,审查个鬼。做了又不会有什么实际对生产效率提高的作用,但是不解决几个问题总感觉心里不踏实。
所以就拎出来测试中心的几个所谓的漏洞改一改。
但是测试报告中这个内容,给看蒙了。
这是什么符号,系统里没有这个东西啊。今天就来破译这个诡异的符号。
问题解释
其实这些符号是在浏览器显示时,用来转义保证正常显示的源码。只是这报告导出时应该没有完成正常的反转码工作。因此出现了这些诡异的东西。
直接给一些破译材料,你就能明白
“表示中文输入法下的双引号
" 表示英文输入法下的双引号
<表示小于号
>表示大于号
 表示空格
其中&在浏览器具体显示是就是&符号,不行你通过CSDN编辑器编辑发布一下。因此本质上上述东东又可以进一步编译成
“表示中文输入法下的双引号
" 表示英文输入法下的双引号
<表示小于号
>表示大于号
表示空格
三、结论
通过对比,可以推断上述截图中的符号,就是用上引号引起来来表明内容的一些系统符号。
翻译过来:
如过滤系统命令的元字符如“&”,“||”,“;”等。
其实要过滤的字符很多如
# ; ;; . , / \ 'string' | ! $ ${} $? $$ $* "string" * ** ?
: ^ $# $@ `command` {} [] [[]] () (()) || && {xx,yy,zz,...}
~ ~+ ~- & \<...\> + - %= == !=
但是哪里能过滤那么多,所以就过滤测试提出的那两个交差好了。毕竟安全问题是平台做的事,放在代码层来做,只好改动下交差吧。