当前位置: 首页 > 图文教程 > 网络编程 > ASP > 所谓新云XSS跨站漏洞全公布

ASP
Adodb.Command 平时很少注意到的一个参数
Asp.Net控件加载错误的解决方法
远程连接access数据库的方法
创建具有JScript的HTML的XMLHTTP
在Asp中如何快速优化分页的技巧
用VB生成DLL封装ASP代码,连接数据库
RS.OPEN SQL,CONN,A,B 全接触
利用adodb.stream直接下载任何后缀的文件(防盗链)
用ASP编程控制在IIS建立Web站点的程序代码
使用VBScript操作Html复选框(CheckBox)控件
把文章内容中涉及到的图片自动保存到本地服务器
两个不同数据库表的分页显示解决方案
使用组件封装数据库操作(一)
使用组件封装数据库操作(二)
如何在pb中创建COM组件,并在asp中调用并返回结果集?
用ASP和Microsoft.XMLDOM分析远程XML文件
浅谈无刷新取得远程数据技术
将ASP纪录集输出成n列的的表格形式显示的方法
在ASP中通过oo4o连接Oracle数据库的例子
Server Application Error详细解决办法

ASP 中的 所谓新云XSS跨站漏洞全公布


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-08-14   浏览: 153 ::
收藏到网摘: n/a

这二天忽然网上暴出说新云出现新漏洞了。一看原来是XSS漏洞,并且公布出来了,文章的名字命的看起来这个漏洞也挺高危的:"新云又出跨站漏洞-通杀所有版本_众多黑客站被检测"。其跨站代码大致如下:showerr.asp?action=error&message=跨站代码,看过这个之后,我感觉作者似乎小题大作了,这类的跨站也只能是自娱自乐而已。应该跨站代码是你自己构造的,而普通用户谁会去构造这样的代码自娱呢?

不过话说回来,新云系统确实存在几个跨点,今天待我一一列出来,很久以前就发现的,今天列出来!

1.搜索文件search.asp跨站漏洞..

效果演示如下:

http://zmke.com/soft/search.asp?act=topic&keyword=<iframe>
我自己站,欢迎大家前来自娱自乐.这个跨点如那相showerr.asp一样,可以说几乎没有利用价值.
 
2./support/about.asp跨站漏洞..

这个或许还有点用处,因为只要代码写进去,比如写一个<iframe>的挂马代码, 凡是访问该页面的用户都将浏览带毒网页。只可惜的是,这个文件就是新云系统里的"关于本站"的那个页,而内容必须在进行后台后在后台填写的.这样利用价值又大打折扣。而且,又能有几个用户会闲着没事看你网站上的"关于本站"那一页..

3./support/help.asp跨站漏洞..

和第二个漏洞同样的效果,同样的利用方法..

4.support/advertise.asp跨站

同样和第二个漏洞同样的效果,同样的利用方法..

5.support\declare.asp跨站..\

同样和第二个漏洞同样的效果,同样的利用方法..

大致目前我就发现了这么几处,其实好好看看,利用价值都不大.不过作为站长的我们也不可忽视.如果您是新云的系统,建议把这上面那几个页面都改成静态网页得了,也为您的站点的seo作点贡献了,删掉原来的那几个漏洞文件最直接。当然search.asp可删不得,删了大家就没办法搜索资源了,不过那个漏洞几乎可以忽略不计, 因为它只能输入<iframe>自娱自乐一下,挂马代码插不进去的,搜索框有20个字节的限制..

以上漏洞均在新云2.1上测试...

作者:lszm, QQ:9155658,站点:www.zmke.com