所謂新云XSS跨站漏洞全公布_ASP教程
推薦:專家教你利用思易ASP木馬追捕入侵站點朋友的網站近日多次被黑,而且老是被改頁面,讓我幫忙看看問題到底出在哪里。于是我找出早就聽說可以找木馬的思易ASP木馬追捕,傳到網站上查ASP木馬。果然好用,它能列出網站內的所有目錄和文件
這二天忽然網上暴出說新云出現新漏洞了。一看原來是XSS漏洞,并且公布出來了,文章的名字命的看起來這個漏洞也挺高危的:"新云又出跨站漏洞-通殺所有版本_眾多黑客站被檢測"。其跨站代碼大致如下:showerr.asp?action=error&message=跨站代碼,看過這個之后,我感覺作者似乎小題大作了,這類的跨站也只能是自娛自樂而已。應該跨站代碼是你自己構造的,而普通用戶誰會去構造這樣的代碼自娛呢?
不過話說回來,新云系統確實存在幾個跨點,今天待我一一列出來,很久以前就發現的,今天列出來!
1.搜索文件search.asp跨站漏洞..
效果演示如下:
http://zmke.com/soft/search.asp?act=topic&keyword=<iframe>
我自己站,歡迎大家前來自娛自樂.這個跨點如那相showerr.asp一樣,可以說幾乎沒有利用價值.
2./support/about.asp跨站漏洞..
這個或許還有點用處,因為只要代碼寫進去,比如寫一個<iframe>的掛馬代碼, 凡是訪問該頁面的用戶都將瀏覽帶毒網頁。只可惜的是,這個文件就是新云系統里的"關于本站"的那個頁,而內容必須在進行后臺后在后臺填寫的.這樣利用價值又大打折扣。而且,又能有幾個用戶會閑著沒事看你網站上的"關于本站"那一頁..
3./support/help.asp跨站漏洞..
和第二個漏洞同樣的效果,同樣的利用方法..
4.support/advertise.asp跨站
同樣和第二個漏洞同樣的效果,同樣的利用方法..
5.support\declare.asp跨站..\
同樣和第二個漏洞同樣的效果,同樣的利用方法..
大致目前我就發現了這么幾處,其實好好看看,利用價值都不大.不過作為站長的我們也不可忽視.如果您是新云的系統,建議把這上面那幾個頁面都改成靜態網頁得了,也為您的站點的seo作點貢獻了,刪掉原來的那幾個漏洞文件最直接。當然search.asp可刪不得,刪了大家就沒辦法搜索資源了,不過那個漏洞幾乎可以忽略不計, 因為它只能輸入<iframe>自娛自樂一下,掛馬代碼插不進去的,搜索框有20個字節的限制..
以上漏洞均在新云2.1上測試...
作者:lszm, QQ:9155658,站點:www.zmke.com
分享:使用FSO自動創建多級文件夾的函數開啟FSO權限 在 開始-“運行”中執行regsvr32.exe scrrun.dll即可。如想關閉FSO權限,在上述命令中加/u參數。注冊表中的鍵值位置:HKEY_CLASS_BOOTF.S.O .FSO中有個方法是Cre
- 相關鏈接:
- 教程說明:
ASP教程-所謂新云XSS跨站漏洞全公布。