4 k" _1 u9 Z0 H3 f- p' b- tFy_Url=Request.ServerVariables("QUERY_STRING")) i! h* m+ o. L- \% j9 f/ ?2 @- {
Fy_a=split(Fy_Url,"&") % [9 X# k; C% j% s- {; bredim Fy_Cs(ubound(Fy_a))6 C' D% c) e- z: a
On Error Resume Next 4 e, q* i: l' v" l/ i$ R& pfor Fy_x=0 to ubound(Fy_a)+ I6 t$ S5 }9 _: `
Fy_Cs(Fy_x) = left(Fy_a(Fy_x),instr(Fy_a(Fy_x),"=")-1)8 W, u' f/ c4 @8 @
Next N) |/ z } l9 }# `/ ~* H0 FFor Fy_x=0 to ubound(Fy_Cs)$ o" _7 U2 k- `2 F0 r5 l4 Y/ a0 a
If Fy_Cs(Fy_x)<>"" Then 1 P% F, m8 _; _If Instr(LCase(Request(Fy_Cs(Fy_x))),"and")<>0 then . G2 e, ?* z6 Q" Y F5 Z c" d' U# C) ^Response.Write "出现错误!" ' H1 K, i# L# M) t( H5 ^Response.End- K J! T4 r0 U6 |
End If 7 ~- |+ ?6 u; a4 L1 AEnd If. ~4 ~; M0 x& _: s/ s+ r* L. [
Next ! `: {8 \9 |) N4 y1 d* z 9 U/ z2 L- a. v3 ^& A 7 X/ i2 a& Z) I- X它的思路就是先获得提交的数据,以"&"为分界获得并处理name/value组,然后判断value里是否含有定义的关键字(这里为求简便,我只留下了"and"),有之,则为注射。 1 u7 q* n+ U0 }) M# Y. r2 Z" {1 l% k
乍一看去,value被检查了,似乎没有问题。呵呵,是的,value不会有问题,可是,name呢?, l8 f% T% r+ ^0 N
R) W+ u7 {8 A$ L- j8 @2 c& C. S! C它的name/value组值来自于Request.ServerVariables("QUERY_STRING"),呵呵,不好意思,这里出问题了。Request.ServerVariables("QUERY_STRING")是得到客户端提交的字符串,这里并不会自动转换url编码,哈哈,如果我们把name进行url编码再提交的话,呵呵,那就可以绕过检查了。比如参数是ph4nt0m=lake2 and lis0,此时程序能够检测到;如果提交%50h4nt0m=lake2 and lis0(对p进行url编码),程序就会去判断%50h4nt0m的值,而%50h4nt0m会被转换为ph4nt0m,所以%50h4nt0m值为空,于是就绕过了检测。* H4 J9 [, V. ^" M+ w8 g
; q! v; e% {* v2 j等等,为什么既然name不解码可以绕过检查而value就不能绕过呢?因为value的值取自Request(Fy_Cs(Fy_x)),这个服务器就会解码的。* D1 E" m1 \' b, w D5 q
1 T* F# r& k" J0 X0 m
程序怎么改进呢?只要能够得到客户端提交的数据是解码后的就可以了,把得到name的语句改为For Each SubmitName In Request.QueryString就可以了。 8 n4 I, B4 D+ b" v1 e4 y% x# D) o7 j$ W, y5 J! @
呵呵,谢谢阁下耐着性子看完我的文章^_^
>说到url编码,你或许会想起N年前的url编码漏洞。可惜我是"生不逢时"啊,我接触网络时,那个漏洞早就绝迹咯。0 ~4 M# z( E9 Y