ASP程序密码验证漏洞(转载)

OUYAN 2000-06-23 09:23:00
这个漏洞其实是很多网站都存在的,特别是提供用ASP编写的聊天室,BBS等(其它的语言我不懂,但我想也会存在这方面的洞
的。)。
一般来说,我们在验证用户是否合法时,会用如下的语句:
set db=server.CreateObject("ADOdb.recordset")
sqlstr=select * from table where user='"&request("user")&"' and password='"&request("password")&"'"
db.open sqlstr,"DSN=aa;",1
然后检测得到的表是否为空,如果为空则用户非法,如果不为空则用户是合法的。
if db.eof and db.bof then
ok="no"
else
   ok="yes"
end if
这段程序单从技术角度看规范的,但从安全角度看就存在一个非常大的洞。因为我们可以构造一个特殊的用户口令和用户名从而进
入受保护的系统内部。
 user='aa' or user<>'aa'
password='aa' or password<>'aa'
相应的在浏览器端的用户名框内写入:aa' or user<>'aa
口令框内写入:aa' or password<>'aa,注意这两个字符串两头是没有'的。
这样就可以成功的骗过系统而进入。

理论虽然如此,但要实践是非常困难的,下面两个条件都必须具备。
1.你首先要能够准确的知道系统在表中是用哪两个字段存储用户名和口令的,只有这样你才能准确的构造出这个进攻性的字符串。
实际上这是很难猜中的。
2.系统对你输入的字符串不进行有效性检查。

从这儿可以看出源码泄露的漏洞有时是致命的!!

我想出的解决办法:
1.就象yexiaolu所说的,分开写,可以看看他的贴子。
2.将存储用户名和用户口令的字段取两个毫不相干的名字,让攻击者猜不中。
3.对用户输入的数据进入有效性检查,如替换掉'等。
4.可以考虑对口令进行简单的加密,如将输入的口令字符串变换一下字符串中字符的位置等都可以有效的防止这种进攻。
5.最重要的一点,不要泄露你的源码!!!!




...全文
158 1 打赏 收藏 转发到动态 举报
写回复
用AI写文章
1 条回复
切换为时间正序
请发表友善的回复…
发表回复
weixiande 2000-06-24
  • 打赏
  • 举报
回复
本来就不该这么做,
要么使用NT域验证, 要么使用SQL验证, SQL验证时如下:
cn = CreateObject("ADODB::Connection");
cn.open database,username,password
if(cn.errors.count){
....
Art2008 CMS是一款具有强大的功能的基于ASP语言的网站管理软件,支持ACCESS数据库。Art2008 CMS是一款完全开源的程序,都毫无保留的完全开放源代码,用户不需额外安装其他DLL组件,其最大的特点是易用,js调用方法,简单直观。 系统介绍 : Art2008 CMS系统功能完善,覆盖面广、扩展性强、负载能力好、模板调用非常灵活、管理方便,因此不仅适合于建设一般企业、政府、学校、个人等小型网站,同时也适合于建设地方门户、行业门户等大中型网站。 主要特性: 1、系统支持整站生成HTML静态和动态ASP 整个系统都可以生成静态HTML,有效的提高了系统的性能,不仅减轻服务器的负载提高搜索收录率,增加网站收录。同时也可以实现内容访问权限控制。 超多种生成文件命名形式可供选择,您可以随心所欲的设置要生成的扩展名,一切更可能的根据您的喜好DIY。 经过开发人员的优化,生成速度非常快,操作便捷。批量生成所有栏目及各个栏目各个时间段静态文件。 这种好处当您的栏目下有上万篇文章时越是明显,因为每次生成时不需要将所有页面重新生成一次,只需要根据预设定的生成最新更新的记录即可! 2、 网站模板与程序分离,支持多种标签调用,支持DIV CSS,通过模板设计便可实现个性化网站 Art2008 CMS实现了“网站模板与程序完全分离”的新概念, JS标签跨站调用,支持不同频道、栏目、专题、内容页应用不同的模 模板制作也非常方便,用户可以发布自己制作的模板,也可以下载安装他人分享的模板。 不需写任何一行代码,可以使用自己熟悉的工具,如Frontpage、Dreamwaver等来制作模板。用户完全可以自行设计模板,从而更好的体现用户的个性和特色。 3、上传文件管理,根据时间进行文件夹分类管理,很方便的进行文件清理,大大节约空间资源:系统后台可以根据管理员操作的项目来清理无效、过期的文件,从而大大节约了空间,节约了成本。 4、支持在线支付和充值卡充值功能,提供完善的财务管理功能和消费明细,每个栏目都可以进行完善的权限设定(浏览、查看、投稿发表等各种权限)和内容收费,可帮助用户轻松建立电子商务网站。 5 、支持多级管理权限控制,让网站多人维护更轻松 系统支持设置栏目管理员管理员,同时还可以根据需求分配不同的权限给他们进行管理,帮助用户轻松实现网站多人维护。 6、多重安全机制和权限控制,为网站安全保驾护航 支持后台Cookie加密、验证码IP锁定、IP白名单、防SQL注入、防跨站脚本、防脚本文件上传等多重安全机制,并且后台支持按级别访问权限,为网站的安全运营提供最强有力的保障。 7、百度站点地图功能,生成和自动更新提交站点最新信息,可以大大的提高收录量。 8、强大的(信息)采集系统,可采文章信息,方便用户系统性的收集信息,使用简单,只需懂点html基础代码即可;支持内容、列表分页采集、多重过滤和内容字符替换:支持远程保存图片、批量入库操作、可预览采集结果。 9、DIGG功能:Digg中文翻译为“鼎革”,或者“顶格”, 它采取的是用户驱动的机制,通过一种类似民主投票的方式来表示对信息的支持和认可,使得被digg多的信息脱颖而出,出现在digg页面上。众多用户对此功能的评价是时尚 实用。 10、评论功能:网站是供大家交流的平台,后台可以启用审核与非审核模式。当有不合适不合时的言论,管理员只需审核这些评论即可,这一功能,大大减少了管理员的工作量,维护了网站的正常运行。 可以对任意栏目内容附加评论,可对单一评论回复和支持不支持,支持是否开启评论,游客回复等; 11、强大的数据备份和恢复功能,可以在线备份、恢复、压缩数据库。 12、支持广告类型:gif图片广告、FLASH广告、文字广告、HTML代码广告。 支持7种广告位显示方式: 页内嵌入循环:就是将广告位直接置入某页面一固定位置,并在同一位置循环显示广告位中的所有正常广告条,这样,每刷新一次就会更替显示一个新的广告条 上下排列置入:从上到下竖排广告位中的所有正常广告条 左右排列置入:从左到右横排广告位中的所有正常广告条 向上滚动置入:向上滚动显示广告位中的所有正常广告条 向左滚动置入:向左滚动显示广告位中的所有正常广告条 弹出多个窗口:页面打开时同时弹出多个窗口,每个窗口内显示一个广告条,弹出数量跟该广告位中的正常广告条数一致 循环弹出窗口:页面打开时同时弹出一个窗口,在同一窗口内循环显示广告位中的正常广告,这样,每刷新一次就会在弹出窗口中更替显示一个新的广告条 广告文件支持: 图片、动画、纯文本、嵌入代码、植入网页 只需后台修改广告即可更新广告;可设置广告过期时间,通用于站内所有位置调用,让你的站点处处体现商机。 13、后台操作日志管理,完整记录所有后台操作,可通过日志查出非法操作记录提供证据。 14、保存远程图片,添加或采集信息时,可选择远程保存图片到本地服务器,防止对方删除图片或者服务器不正常时图片不显示。 15、水印缩略图,可按要求等比缩小,可按要求在指定位置加图片或文字水印,提升内容被转载后的宣传机会。 16、强化在线编辑器(采用ewebeditor在线编辑器),可视化编辑器,类似word的所件即所得的在线内容编辑功能,支持表格、图片、FLASH、多种格式播放器插入,支持图片和附件上传。 17、字符过滤,自动过滤敏感字符,避免损害网站形象、避免网站被公安机关强制关闭。 18、关联链接,自由设置站内关联链接,自动给内容中的一些关键词加上链接,引导浏览者查看更多内容,提高网站黏度; 19、强大的会员互动功能 支持企业会员(制作中)和个人会员 支持会员注册、登录、退出、审核、锁定、资料修改等基本功能; 支持新会员注册时多种验证方式,邮件验证、管理员审核、密码找回; 支持一个会员账号只允许一个会员登录,可以有效防止一个会员账号多人使用的情况; 支持会员注册信息管理,轻松地收集所需的会员资料; 支持会员登录时是否需要验证码; 支持自定义会员组 支持注册会员赠送资金、积分、点券、有效期等计费方式并可兑换产品; 支持新会员注册时发送站内短信通知 支持在后台预设注册时禁止使用的用户名 支持前台会员投稿功能,可以让会员好的东西与大家分享 支持发送站内短信,邮件群发 支持我发表的评论管理 支持会员点券,有效期,资金明细,充值卡管理等 20、友情链接 支持链接分类、支持前台申请后台审核,支持按文字、logo等多种方式显示; 21、 站内调查模块 可设置单选或多选,可设置投票的有效期限,可限制同一IP在24小时内只能进行一次投票; 22、留言本(小型互动论坛) 访问者可以发表留言咨询,管理员可在后台进行回复,实现访可与管理员的互动交流; 23、文章页有上一篇,下一篇,长文章可以自动分页,信息量大,适合搜索引擎收录。 24、强大的图片新闻幻灯显示系统,采用FLASH或者纯图片方式,将您的图片文章以融合、百叶窗等多种交替方面幻灯显示,让您的网站与大网站相媲美 25、公告系统,分为站内公告和会员公告两种,4种公告调用方式一定会使您的网站更加绚丽。 2009_4_18(V3.1) 1、新增文章列表中批量删除文章同时删除静态文件功能; 2、新增文章列表中关键字查询功能; 3、新增两种静态内容页发布方式:发布最新添加;按文章ID发布 4、新增生成或更新静态的网站首页功能; 5、增强自动分页功能,新增一种时尚分页样式; 6、新增生成静态文章列表功能;添加或修改文章时自动生成文章静态列表; 7、修复栏目调用时,路径出错问题; 8、增强网站搜索功能; 9、修复系统中不能同时调用多个投票漏洞; 10、新增DIgg新闻中心排行生成静态调用; 11、修复其他细节问题; 后台登陆用户名:admin 密码:admin 后台认证码:art2008

28,390

社区成员

发帖
与我相关
我的任务
社区描述
ASP即Active Server Pages,是Microsoft公司开发的服务器端脚本环境。
社区管理员
  • ASP
  • 无·法
加入社区
  • 近7日
  • 近30日
  • 至今
社区公告
暂无公告

试试用AI创作助手写篇文章吧