修复了几个跨站漏洞

快乐无极 , 2009/11/23 20:48 , 网站建设 , 评论(0) , 阅读(17314) , Via 本站原创 | |

今天修正了几个跨站漏洞。有几个页面接受恶意参数并运行之后,展示结果页面会被嵌入别的网站。

比如http://www.oyksoft.com/Viewimg.asp?p=/image/oyksoftQQ2009.jpg

我是直接把p接收,然后在<img src='' alt='XXX'/>接收p,但如果p是这个参数:

1%3E%22%3E%3CIfRame%20src%3Dhttp%3A//www.chinamobile.com%20width%3D%22900%22%20height%3D%221800%22%20%0A%0A%3E%3C/IfrAme%3E

那么中国移动的页面将被嵌入到浏览图片的页面来。现在修补了便无法显示了。

http://www.oyksoft.com/Viewimg.asp?p=1%3E%22%3E%3CIfRame%20src%3Dhttp%3A//www.chinamobile.com%20width%3D%22900%22%20height%3D%221800%22%20%0A%0A%3E%3C/IfrAme%3E

很多网站都有这样的漏洞,非凡(原霏凡)也有,下面这个地址就把我的网站嵌入非凡吧

http://www.crsky.com/Viewimg.asp?p=1%3E%22%3E%3CIfRame%20src%3Dhttp%3A//www.oyksoft.com%20width%3D%22900%22%20height%3D%221800%22%20%0A%0A%3E%3C/IfrAme%3E

同样对于谷歌自定义搜索页面也有此漏洞,已修补了。

http://www.oyksoft.com/GoogleSearch.php?cx=013661841400898088533%3Aqrniom_5igg&cof=FORID%3A9&ie=GB2312&q=1%3E%22%3E%3CIfRame%20src%3Dhttp%3A//www.chinamobile.com%20width%3D%22900%22%20height%3D%221800%22%20%0A%0A%3E%3C/IfrAme%3E#244

在IE8中输入上面这个地址时会提示“已修改页面,阻止跨站攻击”,显然IE8增强了安全性。

上面的链接都无害。但是如果嵌入的不是中国移动而是其他恶意网站,而且对方通过这个地址发送给你,我们知道QQ里会对恶意网址进行屏蔽,但如果前面的域名oyksoft.com没被阻止,恶意传播网站者将上述网址通过QQ发送给你,QQ并不会阻挡,而你点击过去,那么有可能就访问到恶意网站了。

另外在PHP里用一个函数htmlspecialchars便可解决上面的问题,将接收的参数继续转成HTML代码,使其执行不了,ASP就麻烦多了。。。

跨站漏洞很普遍,希望WEB开发人员要引起重视。也希望各位认识到这点,不要做坏事,而是积极抵御这些问题。

Tags: ,
发表评论

昵称

网址

电邮

打开HTML 打开UBB 打开表情 隐藏 记住我 [登入] [注册]