asp request0x00字符截断与利用

TEAM : I.S.T.O
AUTHOR: LIVING
今天kj021320叫我 测试上次发现的MSSQL查询语句引擎的 截断效果!
看看在WEB上面的时候会不会有什么,错误信息会暴露
结果发现这个ASP接收参数时候的截断, 跟kj021320讨论了一会 ,本以为没有利用价值的!
但是kj021320说有,不过有特定条件
首先看看ASP程序的大致代码:
<%
response.write request("name")&"
"
response.write request.QueryString
%>
OK,当在IE地址栏输入
http://XXX/index.asp?name=living
在屏幕上面 就会输出
living 
name=living
不会有什么争议了
继续 换一个方式
http://XXX/index.asp?name=living%00hacker
看看输出什么了,结果一样
living
name=living%00hacker
也就是说 通过指定key的方式来获取会有截断的BUG
那么 具体什么条件下面可以利用这样的漏洞呢!
现在的 SQL防注射,XSS防御系统N多!
就拿XSS来说吧!有一个简单的防御遍历所有key获取所有的value
过滤一些特征字符例如 select < > ' " insert and这样的东西
sqlinj_xss.asp
<%
For Each r In Request.QueryString
 if(instr(r,"<")>0) then err
 if(instr(r,">")>0) then err
 if(instr(request.QueryString(r),"<")>0) then err
 if(instr(request.QueryString(r),">")>0) then err
 if(instr(request.QueryString(r),"""")>0) then err
 if(instr(request.QueryString(r),"'")>0) then err
 .....
Next
For Each r In Request.Form
 .....
Next
For Each r In Request.ServerVariables
 .....
Next
...
%>
以下为一个WEB系统 因为漏洞比较多 管理员为了方便都直接 include以上的asp作为过滤
而有一个地方是输出的
下面为usercenter.asp 的代码片段
查看用户信息
以上代码 看上去好象没啥问题!
但是hacker提交以下代码
http://site/usercenter.asp?username=admin%00"xsscode
以上 完成一次 XSS防御的饶过 再进行跨站攻击
I.S.T.O 欢迎更多问题的讨论
 

你可能感兴趣的:(原创技术区)