关于在页面地址栏中直接输入登录信息，出现的漏洞

sjk34kwksks 2012-03-13 05:09:00

就是说，用户直接在地址栏中敲打下面的地址后，页面刷新后就会在文本框中出现像是<~/XSS/*-*/...这样的乱码，，这样的怎么用代码能够屏蔽掉呢。。。就是当用户这样访问的情况下，警告他，不知道代码需要怎么写？
https://enetaaa.com:443/login.aspx?__VIEWSTATE=dDwtNzE3NDAxOTg4OztsPGJ0bkxvZ2luOz4%2B17wQexYmeXNePCtaQpoPa%2FupUgI%3D&txtEmpNo=" <~/XSS/*-*/STYLE=xss:e/**/xpression(alert(097531))>&txtPwd=gmpass1%
21&btnLogin.x=47&btnLogin.y=17

下面是我的text控件的代码。



<td>

<asp:textbox id="txtEmpNo" runat="server" Width="88px" MaxLength="10" 

style="BORDER-RIGHT: #adadad 1px solid; 

BORDER-TOP: #adadad 1px solid; BORDER-LEFT: #adadad 1px solid; BORDER-BOTTOM: #adadad 1px solid"Height="20px">

</asp:textbox>

</td>

求高手帮忙，，
英语好的可以参考这个
http://msdn.microsoft.com/en-us/library/ff649310.aspx

...全文

250 16 打赏收藏转发到动态举报

写回复

用AI写文章

16 条回复

切换为时间正序

请发表友善的回复…

发表回复

jshi123 2012-03-15

打赏
举报

嗯，看上去这是一个无害的字符串，所以用ValidRequest没有检测出来，你能举个用它来实现XSS的攻击实例吗？

sk3wksksk3jsdj 2012-03-15

打赏
举报

添加了<%@ Page Language="VB" ValidateRequest="true" %>，问题还是没有解决

一个破人 2012-03-15

打赏
举报

首先用MD5加密再传到地址栏显示。就可以禁止地址栏访问了！

sk3wksksk3jsdj 2012-03-15

打赏
举报

[Quote=引用 14 楼 jshi123 的回复:]
嗯，看上去这是一个无害的字符串，所以用ValidRequest没有检测出来，你能举个用它来实现XSS的攻击实例吗？
[/Quote]

https://enetaaa.com:443/login.aspx?__VIEWSTATE=dDwtNzE3NDAxOTg4OztsPGJ0bkxvZ2luOz4%2B17wQexYmeXNePCtaQpoPa%2FupUgI%3D&txtEmpNo=" <~/XSS/*-*/STYLE=xss:e/**/xpression(alert(097531))>&txtPwd=gmpass1%
21&btnLogin.x=47&btnLogin.y=17
这么样攻击，，

夜色镇歌 2012-03-14

打赏
举报

加密再传啊

蝶恋花雨 2012-03-14

打赏
举报

http://msdn.microsoft.com/en-us/library/ff649310.aspx 这个你用google翻译下就知道怎么解决了。

EnForGrass 2012-03-14

打赏
举报

加密啊，对一些参数编码啊

还想懒够 2012-03-14

打赏
举报

把后台代码放出来看看，肯定是你后台有赋值的动作吧

liujintaozyc 2012-03-14

打赏
举报

在书写登陆的时候要严格符合规范
另外可以通过正则等过滤手段
乱码的问题就是编码，看看你的编码格式 18素材提供参考

happytonice 2012-03-14

打赏
举报

这个可以防范吧。
文本框中出现乱码只要影响不到服务器就没问题。
对提交后的数据也可以通过多种方式控制。

sjk34kwksks 2012-03-14

打赏
举报

这个是在登录页面发生的事情，恶意的人，会在页面地址栏中敲打上面的http地址，就会在用户名那里出现奇怪的字符，，不知道像这样的事情需要怎么防范。

jshi123 2012-03-14

打赏
举报

在页面第一行里添加ValidateRequest="true"
<%@ Page Language="VB" ValidateRequest="true" %>

sjk34kwksks 2012-03-14

打赏
举报



Sub window_onload



	

	self.focus

	

    

	if  len(window.document.Form1.txtEmpNo.Value) >= 8 then

		window.document.Form1.txtPwd.focus

	else

	    window.document.Form1.txtEmpNo.focus 

	end if

	

	'window.open "notice.htm","notice","height=150, width=300, left=200, top=100, toolbar=no,location=no,directories=no,status=no,menubar=no,scrollbars=no, resizable=no"

    

	

End Sub	



Sub txtEmpNo_onkeyup

	if  len(window.document.Form1.txtEmpNo.Value) >= 8 then

		window.document.Form1.txtPwd.focus

	end if

End Sub

这是script代码

sjk34kwksks 2012-03-14

打赏
举报



<form id="Form1" method="post" runat="server">



											<asp:textbox id="txtEmpNo" runat="server" Width="88px" MaxLength="10" style="BORDER-RIGHT: #adadad 1px solid; BORDER-TOP: #adadad 1px solid; BORDER-LEFT: #adadad 1px solid; BORDER-BOTTOM: #adadad 1px solid"

															Height="20px"></asp:textbox></td>

													<td align="right" rowspan="3"><img src="image/main/login_images03.gif" width="29" height="99" border="0"></td>

												</tr>

												<tr>

													<td>

														<P>

															<asp:textbox id="txtPwd" runat="server" Width="88px" TextMode="Password" style="BORDER-RIGHT: #adadad 1px solid; BORDER-TOP: #adadad 1px solid; BORDER-LEFT: #adadad 1px solid; BORDER-BOTTOM: #adadad 1px solid"

																Height="20px"></asp:textbox></P>

													</td>

												</tr>

												<tr>

													<td>

														<P><asp:imagebutton id="btnLogin" tabIndex="3" runat="server" ImageUrl="image/main/login_icon.gif"></asp:imagebutton><a href="#" OnMouseOut="na_restore_img_src('login_icon', 'document')" OnMouseOver="na_change_img_src('login_icon', 'document', 'images/login_icon_a.gif', true)"></a></P>