IT博客 | 首页 | 发新随笔 | 发新文章 | 联系 | 聚合

| 管理

动网跨站的原因

动网跨站的原因

今天简要说一下跨站形成的原因。

一、BOKE跨站

在"CheckInput.asp"中，自定义函数"FormatCode()"，过滤不严。
Public Function FormatCode(StrData) '提交格式化数据
............
Re.Pattern = "<(\w*) class\s*=\s*([^>|\s]*)([^>]*)>" '以下是正则表达式，用于过滤提交数据
Str = re.Replace(Str,"<$1$3>")
Re.Pattern = "<(\w*) style\s*=\s*([^>|\s]*)([^>]*)>"
Str = re.Replace(Str,"<$1$3>")
..............
FormatCode = Str
End Function

其中过滤的是 < style=****>，而非 <style=****>，导致跨站代码可以写入BOKE文章及评论中。

在"book.asp"中，而显示文章及评论内容时，如果出现"Dv_FilterJS()"中定义的以下字符才会用"Server.HtmlEncode"进行过滤：

(|function|meta|window\.|script|js:|about:|file:|Document\.|vbs:|frame|cookie|on(finish|mouse|Exit|error|click|key|load|focus|Blur))

很遗憾的是："style"不在其中，所以跨站便出现了。

修补方法：

1、修改"FormatCode()"为以下内容，

Public Function FormatCode(StrData) 'JMDCW 2006-06-21
............
Re.Pattern ="<(\w*)class[\s|\w]*=\s*([^>|\s]*)([^>]*)>"
Str = re.Replace(Str,"<$1$3>")
Re.Pattern ="<(\w*)style[\s|\w]*=\s*([^>|\s]*)([^>]*)>"
Str = re.Replace(Str,"<$1$3>")
..............
FormatCode = Str
End Function

2、在"Dv_FilterJS()"中的过滤代码中加入：style和class。

(|function|meta|window\.|script|js:|about:|file:|Document\.|vbs:|frame|cookie|on(finish|mouse|Exit|error|click|key|load|focus|Blur|style|class))

二、头像跨站

注：详细原理及利用请阅读《黑客X档案》 2006年第8期。

动网mymodify.asp对提交的自定义头像内容过滤不严，导致头像中可以写入跨站代码。
动网头像分myface（内置头像）和face（自定义头像），如果myface的提交值为空，就使用face的提交值。采用如下过滤方式：
face=Dv_FilterJS(Replace(face,"'",""))
face=Replace(face,"..","")
face=Replace(face,"\","/")
face=Replace(face,"^","")
face=Replace(face,"#","")
face=Replace(face,"%","")
face=Replace(face,"|","")
face=Left(face,200)
其中"Dv_FilterJS"的部分内容如下：
Function Dv_FilterJS(v)
..............
re.Pattern="(script)"
t=re.Replace(t,"<I>script</I>") '将字符script替换为<I>script</I>
re.Pattern="(js:)"
t=re.Replace(t,"<I>js:</I>")
...............
End Function

这里，动网犯了一个逻辑错误，在代码未检测完之前就进行了过滤，如果提交的是： javasc|ript，或是 javasc^ript ,就能绕过动网的过滤。

修补方法：
对replace采取如下过滤方式。

face=Dv_FilterJS(Replace(face,"'","''")) 'JMDCW 2006-06-22
face=Replace(face,"\","/")
face=Replace(face,"^","^")
face=Replace(face,"#","#")
face=Replace(face,"%","%")
face=Replace(face,"|","|")
face=Replace(face,"..","..")
face=Replace(face," "," ") 'TAB值

发表于 2006-10-09 17:20 stone 阅读(527) 评论(0) 编辑收藏引用所属分类: 学习笔记

只有注册用户登录后才能发表评论。

随笔：32 文章：7 评论：29 引用：0

2024年4月

日

一

二

三

四

五

六

31

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

20

21

22

23

24

25

26

27

28

29

30

1

2

3

4

5

6

7

8

9

10

11

公告

当发现不再是我心中最美丽当心情慢慢的趋于平静当希望自己会有更多的快乐... 才发现这一刻来得并不容易... 或许我不能把未来的路看的很清楚只想选择属于自己快乐的路... 或许我不能把爱看的很清楚只想把快乐牢牢的握在手中... 如果未来的路会有很多快乐... 快乐需要去争取也需要珍惜...

常用链接

留言簿(6)

随笔分类(32)

文章档案(7)

2006年10月 (7)

相册

收藏夹(5)

友情叶子

在线服务

学习基地

最新随笔

搜索

最新随笔

最新评论

1. re: -netsh命令详解
评论内容较长,点击标题查看
--TTT
2. re: 破解工具大全--190个
xie xie
--1
3. re: NBSI2破解版
不能下载!!!
--寻欢
4. re: 冰舞V2.5
下载后有病毒!!
--寻欢
5. re: 明小子的php注入工具
这款太容易用了
--123

阅读排行榜

评论排行榜