所謂新云XSS跨站漏洞全公布_ASP教程

      編輯Tag賺U幣
      教程Tag:暫無Tag,歡迎添加,賺取U幣!

      推薦:專家教你利用思易ASP木馬追捕入侵站點
      朋友的網站近日多次被黑,而且老是被改頁面,讓我幫忙看看問題到底出在哪里。于是我找出早就聽說可以找木馬的思易ASP木馬追捕,傳到網站上查ASP木馬。果然好用,它能列出網站內的所有目錄和文件

      這二天忽然網上暴出說新云出現新漏洞了。一看原來是XSS漏洞,并且公布出來了,文章的名字命的看起來這個漏洞也挺高危的:"新云又出跨站漏洞-通殺所有版本_眾多黑客站被檢測"。其跨站代碼大致如下:showerr.asp?action=error&message=跨站代碼,看過這個之后,我感覺作者似乎小題大作了,這類的跨站也只能是自娛自樂而已。應該跨站代碼是你自己構造的,而普通用戶誰會去構造這樣的代碼自娛呢?

      不過話說回來,新云系統確實存在幾個跨點,今天待我一一列出來,很久以前就發現的,今天列出來!

      1.搜索文件search.asp跨站漏洞..

      效果演示如下:

      http://zmke.com/soft/search.asp?act=topic&keyword=<iframe>
      我自己站,歡迎大家前來自娛自樂.這個跨點如那相showerr.asp一樣,可以說幾乎沒有利用價值.

      2./support/about.asp跨站漏洞..

      這個或許還有點用處,因為只要代碼寫進去,比如寫一個<iframe>的掛馬代碼, 凡是訪問該頁面的用戶都將瀏覽帶毒網頁。只可惜的是,這個文件就是新云系統里的"關于本站"的那個頁,而內容必須在進行后臺后在后臺填寫的.這樣利用價值又大打折扣。而且,又能有幾個用戶會閑著沒事看你網站上的"關于本站"那一頁..

      3./support/help.asp跨站漏洞..

      和第二個漏洞同樣的效果,同樣的利用方法..

      4.support/advertise.asp跨站

      同樣和第二個漏洞同樣的效果,同樣的利用方法..

      5.support\declare.asp跨站..\

      同樣和第二個漏洞同樣的效果,同樣的利用方法..

      大致目前我就發現了這么幾處,其實好好看看,利用價值都不大.不過作為站長的我們也不可忽視.如果您是新云的系統,建議把這上面那幾個頁面都改成靜態網頁得了,也為您的站點的seo作點貢獻了,刪掉原來的那幾個漏洞文件最直接。當然search.asp可刪不得,刪了大家就沒辦法搜索資源了,不過那個漏洞幾乎可以忽略不計, 因為它只能輸入<iframe>自娛自樂一下,掛馬代碼插不進去的,搜索框有20個字節的限制..

      以上漏洞均在新云2.1上測試...

      作者:lszm, QQ:9155658,站點:www.zmke.com

      分享:使用FSO自動創建多級文件夾的函數
      開啟FSO權限 在 開始-“運行”中執行regsvr32.exe scrrun.dll即可。如想關閉FSO權限,在上述命令中加/u參數。注冊表中的鍵值位置:HKEY_CLASS_BOOTF.S.O .FSO中有個方法是Cre

      來源:模板無憂//所屬分類:ASP教程/更新時間:2008-08-22
      相關ASP教程