Board logo

标题: [分享] trim()的漏洞破解与防护 [打印本页]

作者: oooooo    时间: 2009-7-12 16:40     标题: trim()的漏洞破解与防护

有下面的一段代码: 

<% dim name,title 

name=trim(request.form("name")) 

password=trim(request.form("password")) 

if name=""or password="" then response.redirect "error.asp?error=name&name=null"

myDSN="DSN=test;uid=test;pwd=test" 

set cn=server.createobject("adodb.connection") 

cn.open myDSN 

sql="insert into test(name,title) values('"&name&"','"&password&"')" 

cn.execute(sql) 

cn.close%> 

  使用了trim函数来去掉开头和结尾的空格,在一般的情况下,这段程序执行的很正常,但是后来竟然发现有人竟然可以使用空格来,意思就是说,该用户的name完全为空格,但是自己尝试使用空格却无论都不能通过(即被程序监测了出来),开头和结尾的空格都被trim函数给去掉了,即使中间有空格,若需要的话也可以使用一个函数把中间的空格给去掉,由于使用的是sql数据库记录下的用户资料,于是怀疑他使用了其它什么的东西让系统看不到,于是去察看纪录用户资料的sql数据库(曾经使用这种方法看到了带换行符的用户),但是仍然看到数据库中的改用户的资料也是空格,这难道说该用户使用了一种手段可以绕过我的用户名和密码监测吗???实在找不到程序上的漏洞,后来有一次突然灵光一闪,我自己想到了,原来是"Alt+255",按住alt键然后依次按下小键盘中"2","5","5"就会产生一个比较特殊的东西"空格"字符(这个概念笔者也不是比较清楚,这是一种控制字符,在一些编辑器中可以看到word2000,应该还有其他的控制字符),这个空格字符不同于传统的按下空格键产生的字符,它的asc代码是255,而传统的space键入的空格的asc代码是32,trim函数只能认识asc代码为32的代码并去除,所以出现了出现空格用户的情况!针对这种情况笔者设计了下面的两种函数去掉这"空格"字符:

function xuankong(str) 

dim result 

dim j 

j=len(str) 

result="" 

dim i

for i = 1 to j 

select case mid(str,i,1) 

case "<" 

  result=result+"<" 

case ">" 

  result=result+">" 

case chr(34) 

  result=result+""" 

case "&" 

  result=result+"&"'以上代码转换一些html标记 

case chr(255) '防止特殊空格 

  result=result 

case chr(13) '防止回车符 

  result=result+"" 

case chr(10) '防止换行符 

  result=result+"" 

case else 

  result=result+mid(str,i,1) 

  end select 

next

xuankong=result 

end function 

然后在你的asp程序中使用这个函数,比如: 

name=xuankong(trim(request.form("name"))) 

因为字符0-z asc代码的数值为 48-122 这一个区段 ,所以可以使用如下的方法监测:

dim j 

j=len(trim(request.form("name"))) 

for i= 1 toj 

ifasc(mid(name,i,1))>122 or asc(mid(name,i,1))<48 then response..redirect"error.asp?

error=special" 

next

 

  虽然这种“空格”暂时没有发现会破坏程序的问题,但是却是可以让人捣乱的,还是防了的好,不过这种空格也有一种好处,如果作为你得上网密码的话,嘿嘿… …恐怕没有几个人能看到吧!看到的都是以为是space,但是却不是… … 我不熟悉php和jsp所以不知道在这两种东西中是否会存在这种问题。不过肯定这个漏洞是严重的,现在很多地方存在这种漏洞,因为这些程序员非常信任trim()这个东西。呵呵!

(原创)随便谈谈。。。 (混世魔王的文章剖析)

  其实这个我都不想写,就是关于混世魔王他们发现的一个漏洞的荒谬:(动易4.03上传漏洞 )

  我们来看看他们是怎么写的

  重要的漏洞代

  码在于这一句

FileExt=lcase(ofile.FileExt) '判断扩展名

arrUpFileType=split(UpFileType,"|")

for i=0 to ubound(arrUpFileType)

if FileExt=trim(arrUpFileType(i)) then

EnableUpload=true

exit for

end if

next

if FileExt="asp" or FileExt="asa" or FileExt="aspx" or FileExt="cer" or FileExt="cdx" then

EnableUpload=false

  一个变量的出错导致上传漏洞的产生。原理都是利用加个空格,因为asp (后面有空格)是不等于asp的

  真的可以吗?真是笑话。

  让我们看看trim()这个函数的解释吧:

  在asp编程中,我们常常使用trim(rtrim,ltrim)函数去掉一些数据的开头和结尾的空格。

  假如我们提交的是这样的.asp (后面有个空格)

  trim()将空格脱去,然后再和array里的asp asa aspx cdx cer!

  还能成功吗?我用我的电脑打赌,他们一定是头脑发热,才公布了这个漏洞,我找了魔王说了半天,他还不懂!

  哎。。。现在做技术的呀。
作者: 冷酷鲨鱼    时间: 2010-4-16 21:19

看不太明白。
作者: mh8844    时间: 2010-7-12 16:49

我收了。哈哈。




欢迎光临 【3.A.S.T】网络安全爱好者 (http://3ast.com./) Powered by Discuz! 7.2