[分享] trim()的漏洞破解与防护

trim, 漏洞, 防护, 破解

有下面的一段代码：　

<%　dim　name,title　

name=trim(request.form("name"))　

password=trim(request.form("password"))　

if　name=""or password="" then　response.redirect　"error.asp?error=name&name=null"

myDSN="DSN=test;uid=test;pwd=test"　

set　cn=server.createobject("adodb.connection")　

cn.open　myDSN　

sql="insert　into　test(name,title)　values('"&name&"','"&password&"')"　

cn.execute(sql)　

cn.close%>　

　　使用了trim函数来去掉开头和结尾的空格，在一般的情况下，这段程序执行的很正常，但是后来竟然发现有人竟然可以使用空格来，意思就是说，该用户的name完全为空格，但是自己尝试使用空格却无论都不能通过（即被程序监测了出来），开头和结尾的空格都被trim函数给去掉了，即使中间有空格，若需要的话也可以使用一个函数把中间的空格给去掉，由于使用的是sql数据库记录下的用户资料，于是怀疑他使用了其它什么的东西让系统看不到，于是去察看纪录用户资料的sql数据库（曾经使用这种方法看到了带换行符的用户），但是仍然看到数据库中的改用户的资料也是空格，这难道说该用户使用了一种手段可以绕过我的用户名和密码监测吗？？？实在找不到程序上的漏洞，后来有一次突然灵光一闪，我自己想到了，原来是"Alt+255",按住alt键然后依次按下小键盘中"2"，"5"，"5"就会产生一个比较特殊的东西"空格"字符（这个概念笔者也不是比较清楚，这是一种控制字符，在一些编辑器中可以看到word2000，应该还有其他的控制字符），这个空格字符不同于传统的按下空格键产生的字符，它的asc代码是255，而传统的space键入的空格的asc代码是32，trim函数只能认识asc代码为32的代码并去除，所以出现了出现空格用户的情况！针对这种情况笔者设计了下面的两种函数去掉这"空格"字符:

function　xuankong(str)　

dim　result　

dim　j　

j=len(str)　

result=""　

dim　i

for　i　=　1　to　j　

select　case　mid(str,i,1)　

case　"<"　

　 result=result+"<"　

case　">"　

　 result=result+">"　

case　chr(34)　

　 result=result+"""　

case　"&"　

　 result=result+"&"'以上代码转换一些html标记　

case　chr(255)　'防止特殊空格　

　 result=result　

case　chr(13)　'防止回车符　

　 result=result+""　

case　chr(10)　'防止换行符　

　 result=result+""　

case　else　

　 result=result+mid(str,i,1)　

　 end　select　

next

xuankong=result　

end　function　

然后在你的asp程序中使用这个函数,比如：　

name=xuankong(trim(request.form("name")))　

因为字符0-z　asc代码的数值为　48-122　这一个区段　，所以可以使用如下的方法监测：

dim　j　

j=len(trim(request.form("name")))　

for　i=　1　toj　

ifasc(mid(name,i,1))>122　or　asc(mid(name,i,1))<48　then　response..redirect"error.asp?

error=special"　

next

　

　　虽然这种“空格”暂时没有发现会破坏程序的问题，但是却是可以让人捣乱的，还是防了的好,不过这种空格也有一种好处，如果作为你得上网密码的话，嘿嘿…　…恐怕没有几个人能看到吧！看到的都是以为是space，但是却不是…　…　我不熟悉php和jsp所以不知道在这两种东西中是否会存在这种问题。不过肯定这个漏洞是严重的，现在很多地方存在这种漏洞，因为这些程序员非常信任trim()这个东西。呵呵！

（原创）随便谈谈。。。（混世魔王的文章剖析）

　　其实这个我都不想写，就是关于混世魔王他们发现的一个漏洞的荒谬：（动易4.03上传漏洞）

　　我们来看看他们是怎么写的

　　重要的漏洞代

　　码在于这一句

FileExt=lcase(ofile.FileExt) '判断扩展名

arrUpFileType=split(UpFileType,"|")

for i=0 to ubound(arrUpFileType)

if FileExt=trim(arrUpFileType(i)) then

EnableUpload=true

exit for

end if

next

if FileExt="asp" or FileExt="asa" or FileExt="aspx" or FileExt="cer" or FileExt="cdx" then

EnableUpload=false

　　一个变量的出错导致上传漏洞的产生。原理都是利用加个空格，因为asp (后面有空格)是不等于asp的

　　真的可以吗？真是笑话。

　　让我们看看trim()这个函数的解释吧：

　　在asp编程中，我们常常使用trim(rtrim,ltrim)函数去掉一些数据的开头和结尾的空格。

　　假如我们提交的是这样的.asp (后面有个空格)

　　trim()将空格脱去，然后再和array里的asp asa aspx cdx cer!

　　还能成功吗？我用我的电脑打赌，他们一定是头脑发热，才公布了这个漏洞，我找了魔王说了半天，他还不懂！

　　哎。。。现在做技术的呀。