Я предполагаю, что это имеет мало общего с автозаполнением jQueryUI, но, вероятно, указывает на то, что кто-то взломал ваш сайт, хотя и в дружеской манере.
Вероятно, это намек на то, что кому-то удалось получить что-то в вашу базу данных, например <script>alert('xssvuln');</script>
, как указание на то, что ваш сайт уязвим для инъекция межсайтового скриптинга.
Можете ли вы взглянуть на исходный код вашей активной страницы и посмотреть, откуда приходит предупреждение xssvuln? Потому что я сомневаюсь, что это автозаполнение или, по крайней мере, не напрямую. Если это происходит, когда вы используете автозаполнение, я бы проверил результаты поиска того, что вы ищете в вашей действующей системе, чтобы увидеть, включают ли они какой-то Javascript, добавленный хакером, который вы затем вставляете на свою страницу. без должного побега.
В качестве примера: если ваш сайт позволяет вашим пользователям добавлять новый контент, и вы просто принимаете все, что они вводят, а затем выводите его, не выполняя никакой работы по его очистке — удаляя теги сценария, используя такие функции, как htmlspecialchars()
во время вывода и т. д. – тогда вы должны понимать, что фактически разрешаете любому пользователю в Интернете добавьте код на свой сайт.
Один из способов, с помощью которого хакер может быстро протестировать уязвимость XSS на сайте, который он исследует, — это найти форму ввода на сайте и добавить к ней код скрипта, чтобы увидеть, прошел ли он недезинфицированным. Таким образом, они могут найти форму комментариев и ввести:
<script>alert('xssvuln');</script>
...внутрь. Если они затем просматривают страницу комментариев на сайте и вместо текста <script>alert('xssvuln');</script>
на странице (как мы делаем здесь, в Stack Overflow, например) они видят предупреждение Javascript, они знают, что ваш сайт уязвимый.
Итак, мой совет:
- Узнайте, откуда приходит предупреждение. Скорее всего, это пользовательский контент в вашей базе данных.
- Почитайте про межсайтовый скриптинг.
- Защитите свои входы и выходы от такого рода внедрения Javascript.
- При необходимости очистите свою базу данных от существующих атак.
person
Matt Gibson
schedule
09.12.2013
PDO
, чтобы сделать вашу жизнь намного проще. - person DevZer0   schedule 09.12.2013