asp request0x00字符截断与利用

TEAM : I.S.T.O
AUTHOR: LIVING

今天kj021320叫我 测试上次发现的MSSQL查询语句引擎的 截断效果！
看看在WEB上面的时候会不会有什么,错误信息会暴露
结果发现这个ASP接收参数时候的截断, 跟kj021320讨论了一会 ,本以为没有利用价值的！
但是kj021320说有,不过有特定条件
首先看看ASP程序的大致代码：

<%
response.write request("name")&"
"
response.write request.QueryString
%>

OK,当在IE地址栏输入
http://XXX/index.asp?name=living
在屏幕上面 就会输出

living 
name=living

不会有什么争议了
继续 换一个方式

http://XXX/index.asp?name=living%00hacker

看看输出什么了,结果一样

living
name=living%00hacker

也就是说 通过指定key的方式来获取会有截断的BUG

那么 具体什么条件下面可以利用这样的漏洞呢！
现在的 SQL防注射,XSS防御系统N多！
就拿XSS来说吧！有一个简单的防御遍历所有key获取所有的value

过滤一些特征字符例如 select < > ' " insert and这样的东西
sqlinj_xss.asp
<%
For Each r In Request.QueryString
 if(instr(r,"<")>0) then err
 if(instr(r,">")>0) then err
 if(instr(request.QueryString(r),"<")>0) then err
 if(instr(request.QueryString(r),">")>0) then err
 if(instr(request.QueryString(r),"""")>0) then err
 if(instr(request.QueryString(r),"'")>0) then err
 .....
Next
For Each r In Request.Form
 .....
Next
For Each r In Request.ServerVariables
 .....
Next
...
%>

以下为一个WEB系统 因为漏洞比较多 管理员为了方便都直接 include以上的asp作为过滤
而有一个地方是输出的
下面为usercenter.asp 的代码片段
查看用户信息

以上代码 看上去好象没啥问题！
但是hacker提交以下代码
http://site/usercenter.asp?username=admin%00"xsscode

以上 完成一次 XSS防御的饶过 再进行跨站攻击
I.S.T.O 欢迎更多问题的讨论